
在活動目錄域中,我希望將一些電腦分配給單身人士。例如,在computer_a 上,唯一允許登入的人員應該是person_a 加上各個管理員。
我發現的一個常見解決方案是使用本地登入 GPO,但這需要為每台電腦建立新的 GPO 和 OU,因為每台電腦將分配給不同的使用者。有沒有更好的辦法?
我正在嘗試的一種可能的替代方案如下:
- 使用 GPO 從本機使用者群組中刪除以下帳戶:NT AUTHORITY\INTERACTIVE 和 NT AUTHORITY\Authenticated Users
- 將使用者網域帳戶新增至本機使用者群組
這似乎工作正常,但我擔心刪除這兩個特殊群體可能會引起問題。
有更好的解決方案嗎?
答案1
最後,這就是我所做的:
- 使用「允許本機登入」原則僅允許「BUILTIN\Administrators」、「DOMAIN\Domain Admins」和「allowlogon」群組。其中allowlogon是每台機器上的本機群組
- 透過 GPP 在每台電腦上建立 allowedlogon 本機群組
- 在加入網域後的每台電腦上,將指定使用者新增至 allowedlogon 群組就足夠了,他將是唯一允許登入的使用者 (
net localgroup allowlogon /add DOMAIN\user
)- 還可以透過 AD 管理 allowedlogon 成員身份,而無需使用更多 GPO,只需為每台電腦建立全域安全群組 (
allowlogon-computer1
) 並將允許登入的使用者放入其中即可。需要將allowlogon-computer1 群組新增至computer1 中的本機allowlogon 群組,但這可以透過GPP 使用allowlogon-%COMPUTERNAME% 來完成。 (似乎不可能簡單地將allowlogon-%COMPUTERNAME%添加到「允許本地登入」策略中)
- 還可以透過 AD 管理 allowedlogon 成員身份,而無需使用更多 GPO,只需為每台電腦建立全域安全群組 (