GPO: как ограничить пользователей, имеющих возможность входа в систему ПК?

tag-icon tag-icon active-directory group-policy
GPO: как ограничить пользователей, имеющих возможность входа в систему ПК?

В домене Active Directory я хотел бы назначить некоторые ПК отдельным людям. Например, на computer_a единственными людьми, которым разрешено входить в систему, должны быть person_a и различные администраторы.

Одним из распространенных решений, которые я нашел, является использование Logon Locally GPO, но это потребует создания нового GPO и OU для каждого компьютера, поскольку каждый компьютер будет назначен другому пользователю. Есть ли лучший способ?

Одна из возможных альтернатив, с которой я экспериментирую, заключается в следующем:

  • используйте GPO для удаления из группы локальных пользователей следующих учетных записей: NT AUTHORITY\INTERACTIVE и NT AUTHORITY\Authenticated Users
  • добавить учетную запись пользователя домена в локальную группу пользователей

Кажется, это работает нормально, но меня беспокоят возможные проблемы, вызванные удалением двух специальных групп.

Есть ли лучшее решение?

решение1

В итоге вот что я сделал:

  • использовал политику «Разрешить локальный вход», чтобы разрешить только группы «BUILTIN\Администраторы», «DOMAIN\Администраторы домена» и «allowlogon». Где allowlogon — это локальная группа на каждой машине
  • локальная группа allowlogon создается на каждой машине через GPP
  • на каждой машине сразу после присоединения к домену достаточно добавить указанного пользователя в группу allowlogon, и только ему будет разрешен вход в систему ( net localgroup allowlogon /add DOMAIN\user)
    • Также возможно управлять членством allowlogon через AD без использования дополнительных GPO, а просто создать глобальную группу безопасности для каждого компьютера ( allowlogon-computer1) и поместить туда пользователей, которым разрешено входить в систему. Группу allowlogon-computer1 необходимо добавить в локальную группу allowlogon в computer1, но это можно сделать через GPP с помощью allowlogon-%COMPUTERNAME% . (кажется, невозможно просто добавить allowlogon-%COMPUTERNAME% в политику "Allow log on locally")

Связанный контент