GPO: Wie kann die Anzahl der Benutzer beschränkt werden, die sich am PC anmelden können?

tag-icon tag-icon active-directory group-policy
GPO: Wie kann die Anzahl der Benutzer beschränkt werden, die sich am PC anmelden können?

In einer Active Directory-Domäne möchte ich einige PCs einzelnen Personen zuweisen. Beispielsweise sollten sich auf Computer_a nur Person_a und die verschiedenen Administratoren anmelden dürfen.

Eine häufige Lösung, die ich gefunden habe, ist die Verwendung der Gruppenrichtlinie „Lokal anmelden“. Dazu müsste jedoch für jeden Computer eine neue Gruppenrichtlinie und Organisationseinheit erstellt werden, da jeder Computer einem anderen Benutzer zugewiesen würde. Gibt es eine bessere Möglichkeit?

Eine mögliche Alternative, mit der ich experimentiere, ist die folgende:

  • Verwenden Sie GPO, um aus der lokalen Benutzergruppe die folgenden Konten zu entfernen: NT AUTHORITY\INTERACTIVE und NT AUTHORITY\Authenticated Users
  • Fügen Sie das Benutzerdomänenkonto zur lokalen Benutzergruppe hinzu

Dies scheint gut zu funktionieren, ich mache mir jedoch Sorgen über mögliche Probleme, die durch die Entfernung der beiden Sondergruppen verursacht werden könnten.

Gibt es eine bessere Lösung?

Antwort1

Am Ende habe ich Folgendes getan:

  • hat die Richtlinie „Lokale Anmeldung zulassen“ verwendet, um nur die Gruppen „BUILTIN\Administrators“, „DOMAIN\Domain Admins“ und „allowlogon“ zuzulassen. Wobei „allowlogon“ eine lokale Gruppe auf jedem Computer ist
  • Die lokale Gruppe „allowlogon“ wird auf jedem Computer über GPP erstellt.
  • Auf jedem Rechner muss direkt nach dem Beitritt zur Domäne nur der angegebene Benutzer zur Allowlogon-Gruppe hinzugefügt werden, dann ist nur er zur Anmeldung berechtigt ( net localgroup allowlogon /add DOMAIN\user)
    • Es ist auch möglich, die Allowlogon-Mitgliedschaft über AD zu verwalten, ohne weitere GPOs zu verwenden, indem einfach für jeden Computer eine globale Sicherheitsgruppe erstellt wird ( allowlogon-computer1) und dort die Benutzer eingetragen werden, die sich anmelden dürfen. Die Gruppe allowlogon-computer1 muss der lokalen Allowlogon-Gruppe in Computer1 hinzugefügt werden, aber das kann über GPP mit allowlogon-%COMPUTERNAME% erfolgen. (es scheint nicht möglich zu sein, allowlogon-%COMPUTERNAME% einfach zur Richtlinie „Lokale Anmeldung zulassen“ hinzuzufügen)

verwandte Informationen