我目前有一个用户 DOMAINJOINER(位于 WIN7Support OU),我使用它来部署 Windows 7 机器。此用户可以在 WIN7Computers OU 中创建和删除计算机对象,就访问权限而言就是这样,但他也属于域用户组。当新的 Windows 7 计算机启动时(通过自定义映像),它们使用 DOMAINJOINER 凭据加入域。当计算机加入域时,它们会被添加到 WIN7Computers OU(这是在自定义映像中设置的)。
WIN7Computers OU 将容纳所有 Windows 7 机器。
在我们的一个 GPO 中,我有一个执行以下操作的设置:
拒绝以批处理作业形式登录:domain\DOMAINJOINER 拒绝本地登录:domain\DOMAINJOINER 拒绝通过终端服务登录:domain\DOMAINJOINER
不幸的是,此 GPO 只能链接到 WIN7Computers Ou,而不能链接到用户 DOMAINJOINER 所在的 WIN7Support OU。
我的问题是,如何拒绝 DOMAINJOINER 以交互方式登录域中的任何计算机,但允许自定义映像继续使用 DOMAINJOINER 凭据允许计算机加入域?