En un dominio de directorio activo me gustaría tener algunas PC asignadas a personas solteras. Por ejemplo, en computer_a, las únicas personas a las que se les permite iniciar sesión deben ser person_a más los distintos administradores.
Una solución común que encontré es usar el GPO Iniciar sesión localmente, pero esto requeriría crear un nuevo GPO y OU para cada computadora, ya que cada computadora se asignaría a un usuario diferente. ¿Existe una mejor manera?
Una posible alternativa con la que estoy experimentando es la siguiente:
- use GPO para eliminar del grupo de usuarios locales las siguientes cuentas: NT AUTHORITY\INTERACTIVE y NT AUTHORITY\Authenticated Users
- agregue la cuenta de dominio de usuario al grupo de usuarios locales
Esto parece funcionar bien, pero me preocupan los posibles problemas causados por la eliminación de los dos grupos especiales.
¿Existe una solución mejor?
Respuesta1
Al final esto es lo que hice:
- utilizó la política "Permitir inicio de sesión local" para permitir solo los grupos 'BUILTIN\Administrators', 'DOMAIN\Domain Admins' y 'allowlogon'. Donde enablelogon es un grupo local en cada máquina
- El grupo local Allowlogon se crea en cada máquina a través de GPP.
- en cada máquina justo después de unirse al dominio es suficiente agregar el usuario especificado al grupo enablelogon y él será el único autorizado a iniciar sesión (
net localgroup allowlogon /add DOMAIN\user)- También es posible administrar la membresía de enablelogon a través de AD sin usar más GPO, sino simplemente creando un grupo de seguridad global para cada computadora (
allowlogon-computer1) e ingresando allí los usuarios autorizados a iniciar sesión. Será necesario agregar el grupo enablelogon-computer1 al grupo enablelogon local en el equipo1, pero esto se puede hacer a través de GPP usando enablelogon-%COMPUTERNAME%. (No parece posible simplemente agregar enablelogon-%COMPUTERNAME% a la política "Permitir iniciar sesión localmente")
- También es posible administrar la membresía de enablelogon a través de AD sin usar más GPO, sino simplemente creando un grupo de seguridad global para cada computadora (