У меня есть (упрощенно) две группы AD для пользователей:
bgs.ac.at\Students
bgs.ac.at\Teachers
У меня есть (упрощенно) две группы AD для компьютеров (как в двух комнатах)
bgs.ac.at\Room1
bgs.ac.at\Room2
Я хочу, чтобы учащиеся могли входить в систему только на компьютерах в Room1.
Я настроил групповую политику («denyStudents») для bgs.ac.at\Room2 и установил
Конфигурация компьютера > Политики > Параметры безопасности > Локальные политики > Назначение прав пользователя. > Запретить локальный вход в систему
На этом этапе я застрял...
Как мне включить bgs.ac.at\Students на этом этапе?
решение1
Похоже, что здесь есть некоторая путаница в терминологии между OU и группой. OU или организационная единица — это, по сути, место, где вы применяете групповую политику. Группа — это группа пользователей.
Если вы хотите использовать подход, изложенный в вашем вопросе, вам необходимо создать группу, в которую войдут студенты, и указать это в своей политике.
Если вы хотите использовать подход Zoredache (рекомендуется), вам необходимо создать группу, содержащую учителей, и указать ее в политике в Конфигурации компьютера -> Настройки -> Параметры панели управления -> Локальные пользователи и группы (замените Пользователи домена на группу Учителя).
решение2
Гораздо лучше будет вообще не давать пользователям разрешения на вход в систему, чем пытаться запретить им доступ.
Простым решением было бы просто использовать групповую политику для изменения членства в группе «Пользователи» на локальных компьютерах.
Удалите , domain.tld\Domain Usersкоторый добавляется автоматически после присоединения к домену, а затем добавьте в эту группу группу(ы) безопасности, содержащую набор пользователей, которым вы хотите предоставить доступ к машине.
Таким образом, членство .\Usersна компьютерах Room1 может выглядеть следующим образом.
- bgs.ac.at\Студенты
- bgs.ac.at\Учителя
А Room2 может выглядеть вот так.
- bgs.ac.at\Учителя