Tenho (simplifiquei) dois grupos AD para usuários:
bgs.ac.at\Students
bgs.ac.at\Teachers
Tenho (simplificado) dois grupos AD para computadores (como em duas salas)
bgs.ac.at\Room1
bgs.ac.at\Room2
Quero que os alunos só possam fazer login em computadores na Sala1.
Eu configurei uma Política de Grupo ("denyStudents") para bgs.ac.at\Room2 e configurei
Configuração do computador > Políticas > Configurações de segurança > Políticas locais > Atribuição de direitos de usuário. > Negar logon localmente
Neste ponto estou preso...
Como incluo bgs.ac.at\Students neste momento?
Responder1
Parece que há alguma terminologia confusa aqui entre UO e grupo. Uma UO, ou Unidade Organizacional, é basicamente onde você aplica a política de grupo. Um grupo é um monte de usuários.
Se quiser usar a abordagem em sua pergunta, você precisará criar um grupo que contenha os alunos e fazer referência a isso em sua política.
Se quiser usar a abordagem do Zoredache (recomendado), você precisará criar um grupo que contenha os professores e referir-se a isso em uma política em Configuração do Computador -> Preferências -> Configurações do Painel de Controle -> Usuários e Grupos Locais (substitua Domínio Usuários do grupo Professores).
Responder2
Será muito melhor não conceder permissões de login aos usuários, em vez de tentar negar o acesso.
Uma solução simples seria usar apenas uma política de grupo para modificar a associação do grupo Usuários nas máquinas locais.
Remova o domain.tld\Domain Usersque é adicionado automaticamente após ingressar no domínio e, em seguida, adicione um ou mais grupos de segurança que contenham o conjunto de usuários aos quais você deseja ter acesso à máquina nesse grupo.
Portanto, a associação .\Usersnos computadores da Sala1 pode ser assim.
- bgs.ac.at\Alunos
- bgs.ac.at\Professores
E a Sala2 pode ser assim.
- bgs.ac.at\Professores