У меня есть (упрощенные) две группы AD для пользователей:
bgs.ac.at\Students
bgs.ac.at\Teachers
У меня есть (упрощенные) две группы AD для компьютеров (например, в двух комнатах)
bgs.ac.at\Room1
bgs.ac.at\Room2
Я хочу, чтобы учащиеся могли входить в компьютер только в Room1.
Я настроил групповую политику ("denyStudents") для bgs.ac.at \ Room2 и установил
Конфигурация компьютера> Политики> Параметры безопасности> Локальные политики> Назначение прав пользователя. > Запретить вход локально
На этом я застрял ...
Как мне включить bgs.ac.at \ Students в этот момент ??
Похоже, здесь есть некоторая путаница в терминологии между OU и группой. Подразделение или организационная единица - это в основном то место, где вы применяете групповую политику. Группа - это группа пользователей.
Если вы хотите использовать подход в своем вопросе, вам необходимо создать группу, содержащую учащихся, и сослаться на это в своей политике.
Если вы хотите использовать подход Zoredache (рекомендуется), вам необходимо создать группу, содержащую учителей, и ссылаться на нее в политике в разделе Конфигурация компьютера -> Настройки -> Настройки панели управления -> Локальные пользователи и группы (замените домен Пользователи с группой Учителя).
Гораздо лучше вообще не давать пользователям права входа в систему, вместо того, чтобы пытаться запретить доступ.
Простым решением было бы просто использовать групповую политику для изменения членства в группе «Пользователи» на локальных машинах.
Удалить domain.tld\Domain Users который добавляется автоматически после присоединения к домену, а затем добавить группу (группы) безопасности, которая содержит набор пользователей, которым вы хотите иметь доступ к машине, в эту группу.
Итак, членство в .\Users на компьютерах Room1 может выглядеть так.
И Room2 может выглядеть так.