사용자를 위한 두 개의 AD 그룹이 (간소화) 있습니다.
bgs.ac.at\Students
bgs.ac.at\Teachers
컴퓨터용 AD 그룹이 두 개 있습니다(예: 방 두 개).
bgs.ac.at\Room1
bgs.ac.at\Room2
학생들이 Room1의 컴퓨터에만 로그인할 수 있도록 하고 싶습니다.
bgs.ac.at\Room2에 그룹 정책("denyStudents")을 설정하고
컴퓨터 구성 > 정책 > 보안 설정 > 로컬 정책 > 사용자 권한 할당. > 로컬 로그온 거부
이 시점에서 나는 막혔습니다 ...
이 시점에서 bgs.ac.at\Students를 어떻게 포함합니까??
답변1
OU와 그룹 사이에 혼동되는 용어가 있는 것 같습니다. OU(조직 단위)는 기본적으로 그룹 정책을 적용하는 곳입니다. 그룹은 사용자들의 집합입니다.
질문에 이 접근 방식을 사용하려면 학생이 포함된 그룹을 만들고 정책에서 이를 참조해야 합니다.
Zoredache의 접근 방식(권장)을 사용하려면 교사가 포함된 그룹을 생성하고 컴퓨터 구성 -> 기본 설정 -> 제어판 설정 -> 로컬 사용자 및 그룹(도메인 교체)의 정책에서 이를 참조해야 합니다. 교사 그룹의 사용자).
답변2
액세스를 거부하는 것보다 처음부터 사용자에게 로그인 권한을 부여하지 않는 것이 훨씬 낫습니다.
간단한 해결책은 그룹 정책을 사용하여 로컬 컴퓨터에서 사용자 그룹의 구성원 자격을 수정하는 것입니다.
도메인에 가입한 후 자동으로 추가된 를 제거한 domain.tld\Domain Users다음 해당 그룹에 머신에 액세스할 사용자 집합이 포함된 보안 그룹을 추가하세요.
따라서 Room1 컴퓨터의 구성원은 .\Users다음과 같습니다.
- bgs.ac.at\학생
- bgs.ac.at\선생님
Room2는 다음과 같을 수도 있습니다.
- bgs.ac.at\선생님