A abordagem mais fácil seria limitar quem pode conectar-se a um determinado computador a uma única conta de usuário (seja local ou de domínio); Isso pode ser feito facilmente restringindo o direito "fazer logon localmente" nas diretivas de segurança locais ou por meio de um GPO. Além disso, os vários direitos "fazer logon como ..." são um bom lugar para começar.
Se você quiser permitir que muitos usuários façam logon, mas apenas um deles em um determinado momento, será necessário desativar o dekstop remoto (ou restringi-lo a uma única sessão) e também desabilitar a troca de usuário para o console do sistema .
Uma coisa a ter em mente é que, mesmo se você tiver apenas uma sessão interativa, ainda assim poderá ter muitos processos em segundo plano sendo executados como outras contas de usuário (sem mencionar os três contextos do sistema, LocalSystem
, LocalService
e NetworkService
); completamente desautorizar isso exigiria muitos ajustes em muitos lugares do sistema.