Назад | Перейти на главную страницу

GPO: как ограничить доступ пользователей к ПК?

В домене активного каталога я бы хотел, чтобы несколько компьютеров были закреплены за отдельными людьми. Например, на computer_a единственными людьми, которым разрешено входить в систему, должны быть person_a и различные администраторы.

Одним из распространенных решений, которые я нашел, является использование объекта групповой политики «Локальный вход в систему», но для этого потребуется создать новый объект групповой политики и подразделение для каждого компьютера, так как каждый компьютер будет назначен другому пользователю. Есть ли способ лучше?

Одна из возможных альтернатив, с которой я экспериментирую, следующая:

Кажется, это работает нормально, но меня беспокоят возможные проблемы, вызванные удалением двух специальных групп.

Есть ли лучшее решение?

В итоге вот что я сделал:

  • использовали политику «Разрешить локальный вход», чтобы разрешить только группы «BUILTIN \ Administrators», «DOMAIN \ Domain Admins» и «allowlogon». Где allowlogon - это локальная группа на каждом компьютере
  • локальная группа allowlogon создается на каждой машине через GPP
  • на каждой машине сразу после присоединения к домену достаточно добавить указанного пользователя в группу allowlogon, и он будет единственным, кому разрешен вход в систему (net localgroup allowlogon /add DOMAIN\user)
    • Также можно управлять членством в allowlogon через AD без использования дополнительных объектов GPO, а просто создавая глобальную группу безопасности для каждого компьютера (allowlogon-computer1) и поместив туда пользователей, которым разрешено входить в систему. Группу allowlogon-computer1 необходимо добавить в локальную группу allowlogon на компьютере 1, но это можно сделать через GPP с помощью allowlogon-% COMPUTERNAME%. (кажется невозможным просто добавить allowlogon-% COMPUTERNAME% к политике «Разрешить локальный вход»)