在活动目录域中,我希望将一些 PC 分配给单个用户。例如,在 computer_a 上,允许登录的用户应该是 person_a 以及各个管理员。
我发现一个常见的解决方案是使用本地登录 GPO,但这需要为每台计算机创建新的 GPO 和 OU,因为每台计算机都会分配给不同的用户。有没有更好的方法?
我正在尝试的一个可能的替代方案如下:
- 使用 GPO 从本地用户组中删除以下帐户:NT AUTHORITY\INTERACTIVE 和 NT AUTHORITY\Authenticated Users
- 将用户域帐户添加到本地用户组
这似乎工作良好,但我担心删除这两个特殊组可能会引起一些问题。
有没有更好的解决办法?
答案1
最后我做了以下事情:
- 使用“允许本地登录”策略仅允许“BUILTIN\Administrators”、“DOMAIN\Domain Admins”和“allowlogon”组。其中 allowlogon 是每台计算机上的本地组
- 通过 GPP 在每台机器上创建 allowlogon 本地组
- 在每台机器上加入域后,只需将指定的用户添加到 allowlogon 组,他将是唯一允许登录的人(
net localgroup allowlogon /add DOMAIN\user
)- 也可以通过 AD 管理 allowlogon 成员身份,而无需使用更多 GPO,只需为每台计算机创建一个全局安全组 (
allowlogon-computer1
) 并在其中放入允许登录的用户即可。需要将 allowlogon-computer1 组添加到 computer1 中的本地 allowlogon 组,但这可以通过 GPP 使用 allowlogon-%COMPUTERNAME% 来完成。(似乎无法简单地将 allowlogon-%COMPUTERNAME% 添加到“允许本地登录”策略)
- 也可以通过 AD 管理 allowlogon 成员身份,而无需使用更多 GPO,只需为每台计算机创建一个全局安全组 (