Tengo (simplificados) dos grupos de AD para usuarios:
bgs.ac.at\Students
bgs.ac.at\Teachers
Tengo (simplificados) dos grupos AD para computadoras (como en dos salas)
bgs.ac.at\Room1
bgs.ac.at\Room2
Quiero que los estudiantes solo puedan iniciar sesión en las computadoras de la Sala 1.
Configuré una Política de grupo ("denyStudents") en bgs.ac.at\Room2 y configuré
Configuración del equipo > Políticas > Configuración de seguridad > Políticas locales > Asignación de derechos de usuario. > Denegar el inicio de sesión localmente
En este punto estoy estancado...
¿Cómo incluyo bgs.ac.at\Students en este punto?
Respuesta1
Parece que hay una terminología confusa entre OU y grupo. Una OU, o unidad organizativa, es básicamente donde se aplica la política de grupo. Un grupo es un grupo de usuarios.
Si desea utilizar el enfoque en su pregunta, deberá crear un grupo que contenga a los estudiantes y hacer referencia a eso en su política.
Si desea utilizar el enfoque de Zoredache (recomendado), deberá crear un grupo que contenga a los profesores y consultarlo en una política en Configuración del equipo -> Preferencias -> Configuración del panel de control -> Usuarios y grupos locales (reemplace Dominio Usuarios con el grupo Profesores).
Respuesta2
Será mucho mejor no otorgar permisos de inicio de sesión a los usuarios en primer lugar, en lugar de intentar denegar el acceso.
Una solución simple sería simplemente usar una política de grupo para modificar la membresía del grupo de Usuarios en las máquinas locales.
Elimine el domain.tld\Domain Usersque se agrega automáticamente después de unirse al dominio y luego agregue uno o varios grupos de seguridad que contengan el conjunto de usuarios que desea que tengan acceso a la máquina en ese grupo.
Entonces, la membresía de .\Userslas computadoras Room1 podría verse así.
- bgs.ac.at\Estudiantes
- bgs.ac.at\Profesores
Y Room2 podría verse así.
- bgs.ac.at\Profesores