В настоящее время у меня есть пользователь DOMAINJOINER (расположенный в подразделении WIN7Support), который я использую для развертывания компьютеров с Windows 7. Этот пользователь может создавать и удалять компьютерные объекты в подразделении WIN7Computers, это все, что касается доступа, но он также входит в группу пользователей домена. Когда новые компьютеры с Windows 7 загружаются (через пользовательский образ), они используют учетные данные DOMAINJOINER для присоединения к домену. Когда компьютеры присоединяются к домену, они добавляются в OU WIN7Computers (это установлено в пользовательском образе).
OU WIN7Computers будет содержать все машины с Windows 7.
В одном из наших объектов групповой политики у меня есть параметр, который выполняет следующие действия:
Запретить вход в систему как пакетное задание: домен \ DOMAINJOINER Запретить вход в систему локально: домен \ DOMAINJOINER Запретить вход через службы терминалов: домен \ DOMAINJOINER
к сожалению, этот GPO может быть связан только с WIN7Computers Ou, а не с WIN7Support OU, где находится пользователь DOMAINJOINER.
У меня вопрос: как я могу запретить DOMAINJOINER входить в систему в интерактивном режиме на любом компьютере в домене, но разрешить настраиваемому образу продолжать использовать учетные данные DOMAINJOINER, чтобы разрешить компьютерам присоединяться к домену?