我在一家公司工作,我们在一个域内。目前我们有 8 间会议室,这些会议室里有 8 台迷你电脑。
目前,唯一允许登录此 PC 的人是管理员,因为在我们的帐户下的 AD 中,我们有一个“登录到”所有计算机的选项
因此,公司中的其他所有人都在其帐户下设置为 LOGONTO,然后在他们所在的 PC 下进行设置。
我所希望的是让每个人都能登录会议室电脑,而无需指定电脑名称。
我在 AD 中有一个包含所有会议室的 OU。
公司有 100 多名员工。
我希望每个人都能够登录到他们自己的计算机以及会议室里的 8 台计算机。
我已经尝试了几个小时,尝试了组策略,我认为我做的一切都正确,但我收到错误消息您的帐户未配置为使用此计算机,请尝试另一台计算机'
迷你电脑有 Windows 7,我们使用 Windows Server 2008 来管理
我该如何做呢?
答案1
而不是使用登录到在用户的 AD 帐户设置中设置,利用允许本地登录组策略设置(位于 的组策略中Computer/Policies/Security Settings/Local Polices)。
这允许本地登录设置指定工作站上有权登录该计算机的本地用户或组。被授予本地登录权限的组(和一个用户)默认情况下是:
Users
Administrators
Backup Operators
Guest
当计算机加入域时,AD 安全组Domain Users会自动成为工作站本地组的成员。这就是 AD 用户获得登录所有域计算机的权限的方式。(此外,域组也会自动成为本地组的成员。)UsersDomain AdministratorsAdministrators
您可以通过以下方式实现您的目标:
- 使用组策略自定义工作站本地
Users组的成员身份 - 使用组策略直接修改
Allow log on locally策略设置
这两种方法都需要放弃使用Log On To用户的 AD 帐户设置中的设置,转而根据用户是否属于某个组来控制谁可以登录到哪里,而该组要么直接列在允许本地登录GP 设置,或者是在同一设置中列出的组的成员。
答案2
不幸的是,没有可能指定 PC 组或者类似的东西。
但是您可以使用 PowerShell 编写此功能脚本。但我不确定 2008 是否已经支持此功能。
就像是:
Set-ADUser AntonioAl -LogonWorkstations 'AntonioAl-DSKTOP,AntonioAl-LPTOP'
您可以完整地编写脚本来执行以下操作:
- 读取会议室 OU 中的所有工作站 DNS 名称
- 浏览所有用户
- 读取 LogonWorkstations 的当前值
- 从会议室列表中添加缺失值
- 将 LogonWorkstations 的新值写入用户
答案3
如果会议室的 PC 完全相同、位于同一个 OU 中、没有特别的专门用途等,则可以使用受限组将“域用户”添加到用户(甚至是高级用户)组。只需确保在该组中包含您已有的其他用户组(我考虑的是任何 asp.net 帐户等),否则他们将被踢出您使用的组。
(我曾经使用并滥用此设置将特殊用户添加到管理员组。)