Я использовал объект групповой политики «Разрешить локальный вход» на нескольких машинах, чтобы ограничить круг лиц, которые могут их использовать. Раздражает то, что мне приходится создавать / связывать отдельный объект групповой политики для каждого набора машин / пользователей (где таргетинг на уровне элементов, когда он вам нужен?), Но теперь я сталкиваюсь с более сложной проблемой ...
Мне нужно ограничить пользователей AD, которые могут входить в систему, но также разрешить ВСЕ локальные учетные записи, о которых я могу знать или не знать. У нас есть машины, созданные / поддерживаемые внешними поставщиками, которые создают локальные учетные записи для локального администрирования / настройки и / или тестирования. Эти локальные учетные записи должны иметь возможность входить в систему, и они не обязательно принадлежат какой-либо специальной локальной группе.
Есть ли способ настроить какой-то гибрид между «Разрешить локальный вход в систему» и настройками групповой политики, где я могу нацеливать определенных пользователей / группы на добавление или удаление из локальных групп без необходимости конкретно определять ТОЧНО, кто находится в группе? По сути, я хочу наложить слой удаления входа в систему для всех учетных записей AD, а затем разрешить вход в несколько ограниченных групп AD и все, не затрагивая возможность входа в систему для локальных учетных записей.
Это выполнимо? Я не против сценариев запуска, если есть ключ реестра, который я могу заполнить динамически или что-то в этом роде.
Спасибо.
Этого добиться намного проще, чем я думал изначально: все, что вам нужно сделать, это предоставить право «Разрешить локальный вход» для Local account.
Local account это известный идентификатор безопасности (S-1-5-113), которая похожа на группу, за исключением того, что членство неявно основано на правиле: в этом случае все локальные учетные записи являются участниками.
Если вы также предоставите «Разрешить локальный вход» для созданной вами локальной группы, вы можете использовать групповую политику с таргетингом на уровне элементов для добавления пользователей домена, которые должны иметь доступ для входа в эту группу.
Поэтому я предлагаю вам настроить групповую политику, чтобы разрешить доступ для входа в:
AdministratorsLocal accountAuthorized domain usersЭти локальные учетные записи должны иметь возможность входить в систему, и они не обязательно принадлежат какой-либо специальной локальной группе.
Все локальные учетные записи пользователей будут всегда быть хотя бы в одной из этих двух локальных групп:
Администраторы
Пользователи
Таким образом, добавления этих двух групп к праву «Разрешить локальный вход» будет достаточно, чтобы гарантировать, что все локальные учетные записи пользователей могут входить в систему локально.