물리적 컴퓨터에 대한 도메인 사용자 권한

Active Directory에서 로컬 사용자 권한을 구성하는 방법이 있습니까? 예를 들어 이 도메인 사용자(또는 그룹)가 이 물리적 컴퓨터의 관리자여야 한다고 말합니다. 아니면 각 실제 컴퓨터에서 수동으로 수행해야 합니까?

그룹 정책을 통해 "기본 설정 > 제어판 > 로컬 사용자 및 그룹"을 사용하세요. (다른 방법도 있었던 것 같은데 여기서는 기본 설정이 잘 작동하고 여러 개의 겹치는 GPO가 자체 관리 그룹을 추가할 수 있도록 허용합니다.)

그러나 각 컴퓨터에 관리자로 지정된 특정 사용자가 있는 경우 각 컴퓨터에서 수동으로 수행하는 것이 더 쉬울 수 있습니다. ( scWinRM 서비스를 원격으로 시작한 다음 winrs또는 PowerShell Remoting을 사용하여 원격으로 호출 할 수 있습니다 net localgroup /add...)

물론 GPO를 사용하여 "IT 직원"에게 로컬 관리자를 부여하고(그리고 로컬 관리자에서 "도메인 관리자"를 제거!) 할당된 사용자에게 로컬 관리자를 수동으로 부여할 수 있습니다.

특정 컴퓨터에서 특정 사용자를 거부하는 방법이 있습니까? 예를 들어 모든 사용자는 하나를 제외하고 RDP가 있는 모든 워크스테이션에 연결할 수 있습니다.

그룹 정책을 통해 "Windows 설정 > 보안 설정 > 로컬 정책 > 사용자 권한 할당 > [허용/거부] 원격 데스크톱 서비스를 통한 로그온"을 구성합니다. 기본값은 이미 "RDP 사용자"의 관리자 + 구성원만 허용하는 것입니다.

gpedit.msc 또는 secpol.msc를 통해 컴퓨터별로 로컬로 구성할 수도 있지만 기본 설정에서는 이미 "RDP 사용자"에 없는 사용자를 허용하지 않으므로 대신 그룹 구성원을 추가/제거하는 것이 더 간단합니다.

(참고: "대화형" 로그온 유형에는 로컬 로그인과 RDP 로그인이 모두 포함되는 반면 "네트워크" 로그온 유형은 SMB 액세스용입니다. SSH를 설치하는 경우 일반적으로 "대화형"으로 분류되지만 일부 상황에서는 "네트워크"가 될 수 있습니다.)

한 워크스테이션에서 로컬 그룹 멤버십을 수동으로 설정하려고 했습니다. 이해가 안 되지만 whoami /groups를 입력하면 로컬 그룹 멤버십을 볼 수 있지만 net user bob /domain 명령 결과에 "로컬 그룹 멤버십"이라는 빈 줄이 표시됩니다. 이유는 무엇입니까? 어쩌면 순 사용자 xxx /domain이 로컬 그룹을 표시하도록 설계되지 않았을까요? 그런데 이 경우 "로컬 그룹 멤버십"이라는 빈 줄이 표시되는 이유는 무엇입니까? /domain 플래그 없이 net user bob을 입력하려고 했지만 이 사용자가 로컬에 존재하지 않기 때문에 오류가 발생합니다.

지역 회원 정보가 표시됩니다.도메인 컨트롤러에서보기에.

나는 그것이 AD 이전 도메인(예: NetBIOS 기반 "NT 도메인")의 유물이라고 의심합니다. net.exe여전히 그 시대의 남은 코드가 많이 있기 때문입니다. 심지어 OS/2 LAN Manager 및 심지어 NetWare(예: 사용되지 않은 도메인)도 기억합니다. /fpnw 스위치).