У меня небольшая группа настольных серверов, и я не хочу, чтобы кто-либо, кроме администраторов, мог подключаться к ним локально.
У нас есть Windows 2003 AD, и серверы работают под управлением Windows 7 Pro.
Я знаю, что могу:
Создайте OU в AD с указанными компьютерами и назначьте для этого OU групповую политику. Затем в редакторе групповой политики перейдите по адресу: Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Allow log on locally и удалите все группы / пользователей, кроме Domain Administrators, Remote Users, and Administrators?
Что лучше сделать это через групповую политику или настроить на каждой машине?
То, что вы упомянули, - лучший способ сделать это.
Вы можете настроить это на каждом отдельном компьютере, но от этого нет никакой пользы. Выполнение этого через GPO гораздо более масштабируемо.