GPO: PC에 로그온할 수 있는 사용자를 어떻게 제한합니까?

GPO: PC에 로그온할 수 있는 사용자를 어떻게 제한합니까?

Active Directory 도메인에서 일부 PC를 한 사람에게 할당하고 싶습니다. 예를 들어, 컴퓨터_a에서는 로그온이 허용된 유일한 사람은 사람_a와 다양한 관리자여야 합니다.

제가 찾은 일반적인 해결책 중 하나는 로컬 로그온 GPO를 사용하는 것이었지만, 이렇게 하려면 각 컴퓨터가 다른 사용자에게 할당되므로 각 컴퓨터에 대해 새 GPO와 OU를 만들어야 합니다. 더 좋은 방법이 있나요?

제가 실험하고 있는 가능한 대안 중 하나는 다음과 같습니다.

  • GPO를 사용하여 로컬 사용자 그룹에서 NT AUTHORITY\INTERACTIVE 및 NT AUTHORITY\Authenticated Users 계정을 제거합니다.
  • 사용자 도메인 계정을 로컬 사용자 그룹에 추가

이것은 잘 작동하는 것 같지만, 두 개의 특수 그룹을 제거함으로써 발생할 수 있는 문제가 걱정됩니다.

더 나은 해결책이 있습니까?

답변1

결국 내가 한 일은 다음과 같습니다.

  • 'BUILTIN\Administrators', 'DOMAIN\Domain Admins' 및 'allowlogon' 그룹만 허용하기 위해 "로컬 로그온 허용" 정책을 사용했습니다. 여기서 Allowlogon은 각 컴퓨터의 로컬 그룹입니다.
  • Allowlogon 로컬 그룹은 GPP를 통해 각 시스템에 생성됩니다.
  • 도메인에 가입한 직후 각 시스템에서 지정된 사용자를 허용 로그온 그룹에 추가하면 충분하며 그 사용자만 로그온이 허용됩니다( net localgroup allowlogon /add DOMAIN\user).
    • 추가 GPO를 사용하지 않고 AD를 통해 허용 로그온 멤버십을 관리하는 것도 가능하지만 간단히 각 컴퓨터에 대한 글로벌 보안 그룹( allowlogon-computer1)을 생성하고 로그인이 허용된 사용자를 여기에 배치하면 됩니다. Allowlogon-computer1 그룹은 Computer1의 로컬 Allowlogon 그룹에 추가되어야 하지만, 이는 GPP에서 allowedlogon-%COMPUTERNAME%를 사용하여 수행할 수 있습니다. ("로컬 로그온 허용" 정책에 단순히allowlogon-%COMPUTERNAME%을 추가하는 것은 불가능한 것 같습니다.)

관련 정보