我对组策略管理还不太熟悉。我运行的是 Windows Server 2008 R2,并安装了 Active Directory。我已设置了用户,并将他们分配到适当的组中,这些组包括普通用户、管理员/超级管理员和一些本地工作站管理员。
我试图阻止用户亲自走到服务器并使用他们的凭据登录,就像它是我们的工作站之一一样。我希望他们能够使用他们的凭据登录大楼中的任何工作站,但不能登录服务器。如果我将 GPO 更改为拒绝本地登录,似乎也会拒绝他们登录他们的工作站以及服务器。
是否可以只允许超级管理员登录物理服务器,同时仍允许用户登录他们的工作站?
答案1
确保服务器与工作站位于不同的 OU,并将不同的 GPO 应用于服务器 OU 和工作站 OU。
答案2
这是一个老问题,但我认为可以进行更详细的处理。
从问题的措辞和描述的情况来看,OP 似乎正在修改Default Domain Policy。此策略适用于整个域。最佳做法是将此策略的修改限制为默认域安全策略设置:
- 密码策略
- 域帐户锁定策略
- 域 Kerberos 策略
那么,解决该问题的最佳方法是创建一个新的组策略对象,定义您需要应用的设置;在本例中为用户权限分配。在组策略管理中,创建一个新的 GPO,为其适当命名,然后编辑它以添加您需要的用户权限分配设置。
组策略适用于 Active Directory 中的组织单位(也适用于 AD 站点和服务中的站点,但这不是我们今天要讨论的内容)。您应该在 Active Directory 用户和计算机中创建一个新的 OU。为其命名并确保它符合您为组织概述的逻辑结构,然后将所有需要应用您定义的策略设置的对象移动到此容器中。在这种情况下,将您的成员服务器移动到此 OU 中。
然后在组策略管理中,将新的组策略对象链接到新的 OU。GPO 中的计算机设置将应用于此 OU 内的计算机。
AD OU 结构中的一种常见做法是将 OU 组织成“树”格式,以便策略可以沿树向下继承。例如,您可以创建一个“计算机”组织单位,并在其下创建另外两个名为“工作站”和“成员服务器”的 OU。这允许您创建适用于计算机 OU 中所有计算机的单一策略,同时将工作站策略与服务器策略分开。如何定义 OU 结构在很大程度上取决于您的组织的需求和您定义的策略。
允许或拒绝用户登录计算机的特定用户权限分配设置分别是Allow log on locally和Deny log on locally。错误地修改这些设置可能会造成破坏。请注意,定义会Allow log on locally覆盖默认设置,从而有效地拒绝任何未在此设置中明确定义的帐户或组的访问。还请注意,如果存在冲突(例如,如果在两个设置中都定义了一个帐户,则访问将被拒绝),则将取代Deny log on locally。Allow log on locally
请注意 Microsoft 关于修改Allow log on locally和Deny log on locally组策略设置的警告: