У нас есть сервер Windows Server 2008R2, на котором работает наш домен.
У нас около 40 пользователей и около 30 компьютеров. У большинства пользователей есть собственная выделенная рабочая станция, однако каждое утро один человек входит в систему примерно на 5 компьютеров, а затем каждый просто использует свой профиль на короткое время, необходимое для проверки чего-либо (обычно около 2 минут за раз).
Мне было интересно, можно ли иметь эти 5 компьютеров в их собственном подразделении в домене, а затем каким-то образом заставить их автоматически входить в общую учетную запись пользователя, которая не имеет обычных сопоставлений дисков и т.
Кто-то мог включить машины утром, и они загрузились прямо в заблокированную версию обычного профиля пользователя.
Это возможно?
Конечно. Вы можете сделать это.
Создайте «общую» учетную запись и дайте ей разрешение на все, что вам нужно. Установите пароль для учетной записи и используйте групповую политику, чтобы выполнить автоматический вход.
Нет стандартного шаблона групповой политики для управления автоматическим входом в систему. Простой шаблон будет примерно таким:
CLASS MACHINE
CATEGORY "System"
CATEGORY "Logon"
POLICY "Auto Logon"
KEYNAME "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"
VALUENAME "AutoAdminLogon"
VALUEON "1"
VALUEOFF "0"
PART "Username" EDITTEXT
VALUENAME "DefaultUserName"
END PART
PART "Domain" EDITTEXT
VALUENAME "DefaultDomainName"
END PART
PART "Password" EDITTEXT
VALUENAME "DefaultPassword"
END PART
END POLICY
END CATEGORY ; "Logon"
END CATEGORY ; "System"
Сохраните это в файле ".ADM", создайте свое подразделение и объект групповой политики, связанные с ним, и отредактируйте этот объект групповой политики. В редакторе групповой политики вам нужно щелкнуть правой кнопкой мыши «Административные шаблоны» и «Добавить / удалить шаблоны», чтобы добавить этот шаблон. Вы найдете эти настройки в разделе «Классические административные шаблоны».
Имейте в виду, что этот параметр «татуирует» реестр компьютеров, к которым вы его применяете. Когда вы переместите их из OU, они сохранят настройки автоматического входа. Либо удалите их с помощью сценария, либо переместите ПК в подразделение с подключенным GPO «злой антиполитики», в котором отключена настройка автоматического входа для удаления татуировок.
Если вы хотите, чтобы к общей учетной записи пользователя применялись определенные параметры групповой политики, убедитесь, что вы поместили этот пользовательский объект в нужное место и предоставили ему правильное членство в группах и т. Д.
Это возможно. Создайте OU для компьютеров, переместите компьютеры в OU, создайте общую учетную запись пользователя в OU, создайте GPO для OU и свяжите его с OU, установите соответствующие настройки компьютера и пользователя в OU и установите необходимая информация реестра на компьютерах для автоматического входа общего пользователя.
Если вы не хотите, чтобы настройки GPO более высокого уровня применялись к OU, вы можете заблокировать наследование в новом OU. Вы также можете использовать фильтрацию безопасности GPO в подразделениях более высокого уровня, чтобы применить их к группе, которая содержит все, кроме общего пользователя и 5 компьютеров, но безопаснее и менее громоздко блокировать наследование в конкретном подразделении.
Да, просто создайте учетную запись пользователя с красивым функциональным именем и необходимыми разрешениями. Это так просто.