我们有一个支持库等的 AD 域(仍在本地)。这个图书馆有很多公用计算机,这些公用计算机在 Active Directory 中有自己的 OU。我们还有一个通用的public访客登录,我们的图书管理员可以使用它来让外部访客访问机器。
我想限制这个帐户——而且只限制这个帐户——所以它只能访问PublicComputersOU 中的计算机。
我们还有许多其他用户,他们应该仍然能够登录这些计算机和其他计算机。
我知道Log On To...AD 中用户对象上的按钮,但由于这些计算机来来去去,这不太合适。OU 成员资格因其他原因而保留,但如果每次计算机移动时我们都需要使用该按钮,它很快就会过时。
我们的 AD 层次结构的相关部分如下所示:
Domain Root > InstitutionComputers > Library > PublicComputers
> ServiceAccounts > public
> Users (group) > {ManyOtherUsers}
> OtherOU > {ManyOtherUsers}
我怎样才能做到这一点?
我已经尝试在域级别设置拒绝登录策略以包括公共帐户,然后在不包括该帐户的更具体的 OU 级别设置另一个拒绝登录策略。
在测试中这在某些机器上有效,但其他机器会阻止公共用户登录。如果我从一台不工作的机器上查看本地安全策略,我会看到它具有来自域级别的完整策略,而不是 OU 级别,但我已确认该机器是正确 OU 的成员。此外,gpresult显示这两个策略。(我也将此信息添加到问题中),所以我知道更具体的策略与这些计算机匹配。gpupdate /force即使在运行并重新启动计算机后,这种情况仍会继续发生。
事实证明,我对“强制”在组策略中的工作方式有一个误解,它更像是 css !important 与启用/禁用。取消标记“强制”允许记录的优先规则起作用,同时仍然应用所有策略。
创建 2 个 GPO:
public用户添加到拒绝本地登录安全策略有关详细信息,请查看 Microsoft 文档:https ://learn.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/deny-log-on-locally
与通常的应用顺序相比,执行优先顺序相反:
https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc758377(v=ws.10)?redirectedfrom=MSDN