Verweigern Sie einer AD-Benutzergruppe die Anmeldung bei einer bestimmten AD-Computergruppe

Question 1

Es klingt, als ob hier eine gewisse Terminologieverwechslung zwischen OU und Gruppe herrscht. Eine OU oder Organisationseinheit ist im Grunde der Ort, an dem Sie Gruppenrichtlinien anwenden. Eine Gruppe ist eine Gruppe von Benutzern.

Wenn Sie den Ansatz in Ihrer Frage verwenden möchten, müssen Sie eine Gruppe erstellen, die die Studierenden enthält, und in Ihrer Richtlinie darauf verweisen.

Wenn Sie den Ansatz von Zoredache verwenden möchten (empfohlen), müssen Sie eine Gruppe erstellen, die die Lehrer enthält, und in einer Richtlinie unter Computerkonfiguration -> Einstellungen -> Systemsteuerungseinstellungen -> Lokale Benutzer und Gruppen darauf verweisen (ersetzen Sie Domänenbenutzer durch die Gruppe „Lehrer“).

Answer

Es klingt, als ob hier eine gewisse Terminologieverwechslung zwischen OU und Gruppe herrscht. Eine OU oder Organisationseinheit ist im Grunde der Ort, an dem Sie Gruppenrichtlinien anwenden. Eine Gruppe ist eine Gruppe von Benutzern.

Wenn Sie den Ansatz in Ihrer Frage verwenden möchten, müssen Sie eine Gruppe erstellen, die die Studierenden enthält, und in Ihrer Richtlinie darauf verweisen.

Wenn Sie den Ansatz von Zoredache verwenden möchten (empfohlen), müssen Sie eine Gruppe erstellen, die die Lehrer enthält, und in einer Richtlinie unter Computerkonfiguration -> Einstellungen -> Systemsteuerungseinstellungen -> Lokale Benutzer und Gruppen darauf verweisen (ersetzen Sie Domänenbenutzer durch die Gruppe „Lehrer“).

Question 2

Es ist viel besser, den Benutzern gar keine Anmeldeberechtigung zu erteilen, anstatt zu versuchen, den Zugriff zu verweigern.

Eine einfache Lösung wäre, einfach eine Gruppenrichtlinie zu verwenden, um die Mitgliedschaft der Benutzergruppe auf den lokalen Computern zu ändern.

Entfernen Sie das domain.tld\Domain Users, das nach dem Beitritt zur Domäne automatisch hinzugefügt wird, und fügen Sie dann eine oder mehrere Sicherheitsgruppen hinzu, die die Gruppe von Benutzern enthalten, die dieser Gruppe Zugriff auf den Computer gewähren sollen.

Die Mitgliedschaft .\Usersauf Computern in Raum1 könnte also wie folgt aussehen.

bgs.ac.at\Studierende
bgs.ac.at\Lehrende

Und so könnte Raum2 aussehen.

bgs.ac.at\Lehrende

Answer

Es ist viel besser, den Benutzern gar keine Anmeldeberechtigung zu erteilen, anstatt zu versuchen, den Zugriff zu verweigern.

Eine einfache Lösung wäre, einfach eine Gruppenrichtlinie zu verwenden, um die Mitgliedschaft der Benutzergruppe auf den lokalen Computern zu ändern.

Entfernen Sie das domain.tld\Domain Users, das nach dem Beitritt zur Domäne automatisch hinzugefügt wird, und fügen Sie dann eine oder mehrere Sicherheitsgruppen hinzu, die die Gruppe von Benutzern enthalten, die dieser Gruppe Zugriff auf den Computer gewähren sollen.

Die Mitgliedschaft .\Usersauf Computern in Raum1 könnte also wie folgt aussehen.

bgs.ac.at\Studierende
bgs.ac.at\Lehrende

Und so könnte Raum2 aussehen.

bgs.ac.at\Lehrende

Verweigern Sie einer AD-Benutzergruppe die Anmeldung bei einer bestimmten AD-Computergruppe

Antwort1

Antwort2

verwandte Informationen