Я работаю в компании, в домене которой мы находимся. На данный момент у нас есть 8 конференц-залов, и в них есть 8 мини-ПК.
На данный момент единственными людьми, которым разрешено войти на этот компьютер, являются администраторы, потому что в AD под нашими учетными записями у нас есть опция «войти в систему» на всех компьютерах.
Таким образом, все остальные в компании настраиваются под своей учетной записью как LOGONTO, а затем как ПК, на котором они находятся.
Что я ищу, так это сделать так, чтобы каждый мог войти в систему на компьютере конференц-зала без указания имен компьютеров.
У меня есть OU в AD со всеми переговорными комнатами.
В компании более 100 человек.
Я хочу, чтобы каждый мог войти в систему на своих компьютерах ПЛЮС 8 компьютеров в конференц-залах.
Я пытался несколько часов, пробовал групповую политику, и я думаю, что все сделал правильно, но я получаю сообщение об ошибке, ваша учетная запись не настроена для использования этого компьютера, попробуйте другой компьютер '
На мини-ПК установлена windows 7, для управления мы используем windows server 2008.
Как мне это сделать?
Вместо использования Войти на в настройках учетной записи AD вашего пользователя, используйте Разрешить локальный вход параметр групповой политики (находится в групповой политике по адресу Computer/Policies/Security Settings/Local Polices).
В Разрешить локальный вход Параметр определяет локальных пользователей или группы на рабочей станции, у которых есть разрешение на вход на эту машину. Группы (и один пользователь), которым предоставлено разрешение на локальный вход по умолчанию являются:
Users
Administrators
Backup Operators
Guest
Группа безопасности AD Domain Users автоматически становится членом локального Users группа, когда машина присоединена к домену. Таким образом пользователи AD получают разрешение на вход на все компьютеры домена. (Также доменная группа Domain Administrators автоматически становится членом местного Administrators группа.)
Вы можете достичь своей цели:
Users группаAllow log on locally настройка политики напрямуюЛюбой из этих подходов потребовал бы отказа от использования Log On To в настройках учетной записи AD вашего пользователя в пользу контроля того, кто может входить в систему, в зависимости от их членства (или отсутствия) в группе, которая либо прямо указана в Разрешить локальный вход Параметр GP или член группы, указанной в этом же параметре.
К сожалению, нет возможности указать группы компьютеров или что-то в этом роде.
Однако вы могли бы использовать эту возможность с помощью PowerShell. Я не уверен, что 2008 год уже поддерживает это.
Что-то вроде:
Set-ADUser AntonioAl -LogonWorkstations 'AntonioAl-DSKTOP,AntonioAl-LPTOP'
Вы можете полностью написать сценарий:
Если компьютеры конференц-зала идентичны, находятся в одном подразделении, не являются специализированными и т. Д., Вы можете использовать группы с ограниченным доступом для добавления «пользователей домена» в группу «Пользователи» (или даже «Опытные пользователи»). Просто убедитесь, что вы включили другие группы пользователей, которые у вас уже есть в этой группе (я думаю о таких вещах, как любая учетная запись asp.net и т. Д.), Иначе они будут исключены из группы, которую вы используете.
(Раньше я использовал и злоупотреблял этой настройкой для добавления специальных пользователей в группу администраторов.)