我們有一個 AD 域(仍在本地),支援庫等。該庫有許多公共計算機,這些公共計算機位於 Active Directory 中自己的 OU 中。我們還有一個通用的public訪客登錄,圖書館員可以使用它來讓外部訪客訪問機器。
我想限制此帳戶(並且僅限此帳戶),使其只能存取PublicComputersOU 中的電腦。
我們還有許多其他用戶,他們也應該仍然能夠登入這些電腦和其他電腦。
我知道Log On To...AD 中使用者物件上的按鈕,但隨著這些電腦的來來去去,這不太合適。 OU 成員資格的維護是出於其他原因,但如果我們每次電腦移動時都需要使用該按鈕,那麼它很快就會過時。
我們的 AD 層次結構的相關部分如下所示:
Domain Root > InstitutionComputers > Library > PublicComputers
> ServiceAccounts > public
> Users (group) > {ManyOtherUsers}
> OtherOU > {ManyOtherUsers}
我怎樣才能做到這一點?
我嘗試在網域層級設定拒絕登入原則以包含公用帳戶,然後在不包含該帳戶的更具體的 OU 層級設定另一個拒絕登入原則。
在測試中,這在某些電腦上有效,但其他電腦會阻止公共使用者登入。但我已確認該計算機是正確OU 的成員。此外,也gpresult顯示這兩項政策。 (我也將此資訊添加到問題中),所以我知道更具體的策略是匹配這些計算機。即使在運行gpupdate /force並重新啟動電腦後,這種情況仍然會發生。
事實證明,我對群組原則中「強制」的工作方式存在誤解,它更像是 css !important 與啟用/停用。取消標記「強制」允許記錄的優先規則發揮作用,同時仍套用所有策略。
答案1
建立 2 個 GPO:
- 域級 GPO。將
public使用者新增至拒絕本機登入安全性原則 - OU 等級 GPO(具有電腦物件的 OU)。將拒絕本機登入配置為空(或您需要的任何內容,以防您需要封鎖其他使用者)
有關更多信息,請查看 Microsoft 文件:https://learn.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/deny-log-on-locally
與通常的申請順序相比,執行優先順序相反:
如果在層次結構的兩個層級強制執行的 GPO 中存在衝突的設置,則以距離客戶端最遠強制執行的設定為準。這與通常規則相反,通常以最近連結的 GPO 的設定為準。