我有(簡化的)兩個使用者 AD 群組:
bgs.ac.at\Students
bgs.ac.at\Teachers
我有(簡化的)兩個電腦 AD 組(例如在兩個房間中)
bgs.ac.at\Room1
bgs.ac.at\Room2
我希望學生只能登入 Room1 中的電腦。
我將群組原則(“denyStudents”)設為 bgs.ac.at\Room2 並設定
電腦設定 > 政策 > 安全性設定 > 本機原則 > 使用者權限指派。 > 拒絕本機登入
此時我被困住了...
此時該如何包含 bgs.ac.at\Students ?
答案1
聽起來 OU 和組之間有一些令人困惑的術語。 OU(即組織單位)基本上是應用群組原則的地方。一個群組是一群用戶。
如果您想在問題中使用該方法,您需要建立一個包含學生的群組並在您的政策中引用該群組。
如果您想使用Zoredache 的方法(建議),您需要建立一個包含教師的群組,並在電腦配置-> 首選項-> 控制面板設定-> 本機使用者和群組(替換網域)中的策略中引用該群組。
答案2
最好一開始就不授予使用者登入權限,而不是嘗試拒絕存取。
一個簡單的解決方案是僅使用群組原則來修改本機上的 Users 群組的成員資格。
刪除domain.tld\Domain Users加入網域後自動新增的安全性群組,然後將包含您希望有權存取電腦的使用者群組的安全性群組新增至該群組。
因此 Room1 電腦上的成員資格.\Users可能如下所示。
- bgs.ac.at\學生
- bgs.ac.at\教師
Room2 可能看起來像這樣。
- bgs.ac.at\教師