Мне интересно, что лучше всего, в настоящее время у нас есть один домен. И что нам нужно, так это гостевые учетные записи, которые должны иметь возможность входить в учебную комнату и случайные рабочие станции во время (если им нужно войти на рабочую станцию, которая потребует работы со стороны ИТ-отдела).
Моя первая идея была:
Удалите эту группу пользователей из «Пользователи домена» и измените основную группу. Но их все еще можно войти в систему на любой станции (даже если я удалю прошедших проверку пользователей из группы локальных пользователей на машине).
Второй моей попыткой было Запретить правила.
Это работает мгновенно, но создаст проблемы с разрешением гостевым учетным записям входа на определенные рабочие станции (обычно требуется, чтобы разные политики перекрывали друг друга).
Я предполагаю, что это делалось много раз раньше, но мне не удалось найти хорошую статью и лучшие практики по ней. И мне интересно, есть ли у сообщества опыт
Вам необходимо создать группу безопасности. Назовите это как-то вроде Deny Logon to Workstations. Вы поместите эти учетные записи гостевых пользователей сюда после их создания.
Поместите все компьютеры, к которым вы хотите запретить доступ, в одно подразделение, дерево подразделений или используйте фильтрацию безопасности. Как бы вы ни решили это сделать, просто убедитесь, что этот объект групповой политики, который вы собираетесь настроить, применяется к машинам, на которых вы хотите запретить вход, и не применяется к исключениям.
Затем в групповой политике настройте Computer Configuration / Windows Settings / Security Settings / Local Policies / User Rights Assignments / Deny Logon Locally отказать в доступе к Deny Logon to Workstations группа, которую вы создали ранее.
Затем просто добавьте эти гостевые учетные записи в эту группу. Они не смогут войти на рабочие станции, к которым применяется эта политика. Он простой, масштабируемый, и вам не нужно возиться с чем-либо еще на локальных машинах.