Em vez de usar a configuração Fazer logon em nas configurações da conta do AD do usuário, aproveite a configuração de política de grupo Computer/Policies/Security Settings/Local Polices
).
A configuração Permitir logon localmente especifica usuários ou grupos locais em uma estação de trabalho com permissão para fazer logon nessa máquina. Os grupos (e um usuário) que recebem permissão para efetuar logon localmente por padrão são:
Users
Administrators
Backup Operators
Guest
O grupo de segurança do AD Domain Users
torna-se automaticamente um membro do grupo Users
local da estação de trabalho quando a máquina ingressar no domínio. É assim que os usuários do AD obtêm permissão para fazer logon em todos os computadores do domínio. (Além disso, o grupo de domínio Domain Administrators
é automaticamente transformado em membro do grupo Administrators
local.)
Você pode alcançar seu objetivo:
- Use a política de grupo para personalizar a associação do local
Users
group das suas estações de trabalho - Use a política de grupo para modificar diretamente a configuração de política
Allow log on locally
Qualquer uma dessas abordagens exigiria o abandono do uso da configuração Log On To
nas configurações da conta do AD do usuário, a fim de controlar quem pode fazer logon com base em sua associação (ou não) em um grupo listado diretamente no Permitir efetuar login na configuração GP local ou é um membro de um grupo listado nessa mesma configuração.