我们有一个 AD 域(仍在本地),它支持图书馆等。这个图书馆有许多公共计算机,这些公共计算机在 Active Directory 中位于自己的 OU 中。我们还有一个通用public访客登录名,我们的图书管理员可以使用它来让外部访客访问这些机器。
我想限制这个帐户 — — 并且只有这个帐户 — — 以便它只能访问PublicComputersOU 中的计算机。
我们还有许多其他用户也应该仍然能够登录这些计算机和其他计算机。
我知道Log On To...AD 中用户对象上的按钮,但这并不合适,因为这些计算机来来去去。OU 成员资格是出于其他原因而保留的,但如果每次计算机移动时我们都需要使用该按钮,它很快就会过时。
我们的 AD 层次结构的相关部分如下所示:
Domain Root > InstitutionComputers > Library > PublicComputers
> ServiceAccounts > public
> Users (group) > {ManyOtherUsers}
> OtherOU > {ManyOtherUsers}
我怎样才能做到这一点?
我尝试在域级别设置一个拒绝登录策略以包含公共帐户,然后在更具体的 OU 级别设置另一个不包含该帐户的拒绝登录策略。
在测试中,这在某些机器上有效,但其他机器会阻止公共用户登录。如果我从一台不工作的机器查看本地安全策略,我会看到它具有域级别的完整策略,而不是 OU 级别,但我已确认该机器是正确的 OU 的成员。此外,显示两个策略。(我也将此信息添加到问题中),所以我知道更具体的策略与这些计算机相匹配。即使在运行并重新启动计算机gpresult后,这种情况仍会继续发生。gpupdate /force
事实证明,我对“强制”在组策略中的工作方式存在误解,它更像是 css !important 与启用/禁用。取消标记“强制”允许记录的优先规则发挥作用,同时仍应用所有策略。
答案1
创建 2 个 GPO:
- 域级 GPO。将
public用户添加到拒绝本地登录安全策略 - OU 级别 GPO(具有计算机对象的 OU)。将“拒绝本地登录”配置为空(或根据需要配置,以防您需要阻止其他用户)
有关更多信息,请查看 Microsoft 文档:https://learn.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/deny-log-on-locally
与通常的应用顺序相比,执行优先级的工作方式相反:
如果在层次结构的两个级别上强制执行的 GPO 中存在冲突的设置,则以距离客户端最远的设置为准。这与通常的规则相反,通常以距离客户端最近的 GPO 的设置为准。