我想知道最佳做法是什么,我们目前有一个单域。我们需要的是访客帐户,这些帐户应该能够同时登录课程室和随机工作站(如果他们需要登录工作站,则需要 IT 部门的工作)。
我的第一个想法是:
从域用户中删除该组用户,并更改主要组。但他们仍然能够登录到任何站点(即使我从计算机上的本地用户组中删除经过身份验证的用户)。
我第二次尝试的是拒绝规则。
这种方法可以立即生效,但会导致允许访客帐户登录某些工作站的问题(基本上需要不同的策略相互覆盖)。
我认为这以前已经做过很多次了,但我找不到好的文章和最佳实践。我想知道社区是否有经验
答案1
您需要创建一个安全组。将其命名为Deny Logon to Workstations。创建这些来宾用户帐户后,您将把它们放在此处。
将您想要拒绝访问的所有计算机放在同一个 OU、OU 树中,或者使用安全过滤。无论您选择如何操作,只需确保您即将配置的 GPO 适用于您想要拒绝登录的计算机,而不适用于例外情况。
然后,在组策略中,配置Computer Configuration / Windows Settings / Security Settings / Local Policies / User Rights Assignments / Deny Logon Locally为拒绝对Deny Logon to Workstations您之前创建的组的访问。
然后,只需将这些来宾帐户添加到此组即可。他们将无法登录到此策略适用的工作站。它很简单,可扩展,并且您无需在本地计算机上摆弄任何其他东西。