我们有一台运行我们域的 Windows Server 2008R2 服务器。
我们有大约 40 名用户和大约 30 台计算机。大多数用户都有自己的专用工作站,但是每天早上会有大约 5 台计算机由一个人登录,然后每个人都会在需要检查某些内容的短暂时间内使用他们的个人资料(通常每次大约 2 分钟)。
我想知道是否可以将这 5 台计算机放在域中的自己的 OU 中,然后以某种方式让它们自动登录到没有任何常用驱动器映射等的通用用户帐户。
有人可以在早上打开机器,然后机器就会直接启动到通常用户配置文件的锁定版本。
这可能吗?
答案1
当然可以。你可以这么做。
创建“通用”帐户并授予其所需的任何权限。为该帐户设置密码并使用组策略实现自动登录。
没有现成的组策略模板来控制自动登录。一个简单的模板应该是这样的:
CLASS MACHINE
CATEGORY "System"
CATEGORY "Logon"
POLICY "Auto Logon"
KEYNAME "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"
VALUENAME "AutoAdminLogon"
VALUEON "1"
VALUEOFF "0"
PART "Username" EDITTEXT
VALUENAME "DefaultUserName"
END PART
PART "Domain" EDITTEXT
VALUENAME "DefaultDomainName"
END PART
PART "Password" EDITTEXT
VALUENAME "DefaultPassword"
END PART
END POLICY
END CATEGORY ; "Logon"
END CATEGORY ; "System"
将其保存在“.ADM”文件中,创建链接到它的 OU 和 GPO,然后编辑 GPO。在组策略编辑器中,您需要右键单击“管理模板”和“添加/删除模板”以添加此模板。您可以在“经典管理模板”下找到这些设置。
请记住,此设置将“标记”您应用它的 PC 的注册表。当您将它们移出 OU 时,它们将保留自动登录设置。要么通过脚本删除它们,要么将 PC 重新定位到链接有“邪恶反策略”GPO 的 OU,该 GPO 已禁用自动登录设置以取消标记。
如果您希望将某些特定的组策略设置应用于通用用户帐户,请确保将该用户对象放在正确的位置并赋予其适当的组成员身份等。
答案2
这是可能的。为计算机创建一个 OU,将计算机移至该 OU,在 OU 中创建通用用户帐户,为 OU 创建 GPO 并将其链接到 OU,在 OU 中设置适当的计算机和用户设置,并在计算机上设置必要的注册表信息以自动登录通用用户。
如果您不想将更高级别的 GPO 设置应用于 OU,则可以阻止新 OU 上的继承。您还可以在更高级别的 OU 上使用 GPO 安全过滤,将它们应用于包含除一般用户和 5 台计算机之外的所有内容的组,但阻止特定 OU 上的继承更安全且更省事。
答案3
是的,只需创建一个具有好用功能名称和正确权限的用户帐户即可。就这么简单。