GPO: como limitar os usuários que podem fazer logon no PC?

tag-icon tag-icon active-directory group-policy
GPO: como limitar os usuários que podem fazer logon no PC?

Em um domínio do Active Directory, gostaria de ter alguns PCs atribuídos a pessoas solteiras. Por exemplo, no computador_a, as únicas pessoas com permissão para fazer logon devem ser person_a mais os vários administradores.

Uma solução comum que encontrei é usar o GPO Logon Localmente, mas isso exigiria a criação de um novo GPO e UO para cada computador, pois cada computador seria atribuído a um usuário diferente. Existe uma maneira melhor?

Uma alternativa possível que estou experimentando é a seguinte:

  • use GPO para remover do grupo de usuários locais as seguintes contas: NT AUTHORITY\INTERACTIVE e NT AUTHORITY\Authenticated Users
  • adicione a conta de domínio do usuário ao grupo de usuários locais

Isto parece funcionar bem, mas estou preocupado com possíveis problemas causados ​​pela remoção dos dois grupos especiais.

Existe uma solução melhor?

Responder1

No final, aqui está o que eu fiz:

  • usou a política "Permitir logon local" para permitir apenas os grupos 'BUILTIN\Administradores', 'DOMAIN\Domain Admins' e 'allowlogon'. Onde Allowlogon é um grupo local em cada máquina
  • o grupo local Allowlogon é criado em cada máquina através do GPP
  • em cada máquina logo após ingressar no domínio basta adicionar o usuário especificado ao grupo de permissão de logon e ele será o único com permissão para fazer logon ( net localgroup allowlogon /add DOMAIN\user)
    • Também é possível gerenciar a associação de permissão de login através do AD sem usar mais GPOs, mas simplesmente criando um grupo de segurança global para cada computador ( allowlogon-computer1) e colocando lá os usuários com permissão para fazer login. O grupo Allowlogon-computer1 precisará ser adicionado ao grupo Allowlogon local em Computer1, mas isso pode ser feito por meio do GPP usando Allowlogon-%COMPUTERNAME% . (não parece ser possível simplesmente adicionar permitirlogon-%COMPUTERNAME% à política "Permitir logon local")

informação relacionada