Desejo desabilitar as contas de usuários locais nas máquinas que estão no domínio? Eu tentei desativá-lo de "Configuração \ Configurações do Windows \ Configurações de Segurança \ Políticas Locais \ User Rights Assignment", mas não parece estar funcionando \; Ainda posso fazer logon com uma conta local.
Você não pode fazer isso diretamente do AD, mas pode criar scripts e distribuir via GPO.
Este é um script que deve fazer algo parecido com o que você quer, mas BEWARE: este script como escrito desativa tudo o que não é administrador ou ASPNET. Modifique e teste antes de implantar.
Você pode fazer isso diretamente do AD.
No Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment , você pode encontrar a seguinte opção: Allow log on locally .
Ative esta política e insira a seguinte conta na lista: MyDomain\Authenticated Users e BUILTIN\Administrator (a última permitirá que você faça login usando uma conta administrativa interna).
Dessa forma, somente usuários autenticados por domínio poderão efetuar logon localmente (ou seja, realizar logon interativo usando a tela de logon).
Tags active-directory