Permitir que os usuários façam logon em computadores em um domínio

5

Eu trabalho para uma empresa que estamos em um domínio. No momento, temos 8 salas de reunião e nessas salas há 8 mini PCs.

No momento, as únicas pessoas que têm permissão para fazer logon neste PC são os administradores, porque no AD, em nossas contas, temos a opção "fazer o login em" todos os computadores

Assim, todos os outros membros da empresa estão configurados em sua conta como LOGONTO e, em seguida, no PC em que estão.

O que eu estou procurando é fazer com que todos possam fazer logon no PC da sala de reunião sem especificar os nomes dos computadores.

Eu tenho uma OU no AD com todas as salas de reunião.

Existem mais de 100 na empresa.

Eu quero que todos possam fazer logon em seus próprios computadores, além dos 8 computadores nas salas de reunião.

Eu tenho tentado por horas, tentei a política de grupo e acho que fiz tudo correto, mas recebo a mensagem de erro que sua conta não está configurada para usar este computador, por favor tente outro computador '

Mini PCs têm o Windows 7, estamos usando o Windows Server 2008 para gerenciar

Como faço para fazer isso?

    
por Tiger 04.10.2014 / 05:28

3 respostas

6

Em vez de usar a configuração Fazer logon em nas configurações da conta do AD do usuário, aproveite a configuração de política de grupo logar localmente (encontrada na Diretiva de Grupo em Computer/Policies/Security Settings/Local Polices ).

A configuração Permitir logon localmente especifica usuários ou grupos locais em uma estação de trabalho com permissão para fazer logon nessa máquina. Os grupos (e um usuário) que recebem permissão para efetuar logon localmente por padrão são:

Users
Administrators
Backup Operators
Guest

O grupo de segurança do AD Domain Users torna-se automaticamente um membro do grupo Users local da estação de trabalho quando a máquina ingressar no domínio. É assim que os usuários do AD obtêm permissão para fazer logon em todos os computadores do domínio. (Além disso, o grupo de domínio Domain Administrators é automaticamente transformado em membro do grupo Administrators local.)

Você pode alcançar seu objetivo:

  1. Use a política de grupo para personalizar a associação do local Users group das suas estações de trabalho
  2. Use a política de grupo para modificar diretamente a configuração de política Allow log on locally

Qualquer uma dessas abordagens exigiria o abandono do uso da configuração Log On To nas configurações da conta do AD do usuário, a fim de controlar quem pode fazer logon com base em sua associação (ou não) em um grupo listado diretamente no Permitir efetuar login na configuração GP local ou é um membro de um grupo listado nessa mesma configuração.

    
por 04.10.2014 / 17:04
2

Infelizmente, não há possibilidade de especificar grupos de computadores ou algo assim.

O que você pode fazer é roteirizar essa habilidade com o PowerShell. Eu não tenho certeza se 2008 já suporta isso.

Algo como: Set-ADUser AntonioAl -LogonWorkstations 'AntonioAl-DSKTOP,AntonioAl-LPTOP'

Você pode fazer o script completo para:

  • Ler todos os nomes DNS das Estações de Trabalho na OU das Salas de Reuniões
  • Passar por todos os usuários
  • Leia o valor atual de LogonWorkstations
  • Adicionar valores ausentes da lista de salas de reunião
  • Escreva o novo valor para LogonWorkstations para o usuário
por 04.10.2014 / 07:48
0

Se os PCs da sala de conferência forem idênticos, na mesma UO, não especializados, etc., você poderá usar grupos restritos para adicionar "Usuários do domínio" ao grupo Usuários (ou até mesmo Usuários avançados). Apenas certifique-se de incluir os outros grupos de usuários que você já tem nesse grupo (estou pensando em coisas como qualquer conta do asp.net, etc.) ou então eles serão expulsos do grupo que você usa.

(Eu costumava usar e abusar dessa configuração para adicionar usuários especiais ao grupo Administradores.)

    
por 05.10.2014 / 03:57