GPO: como limitar os usuários capazes de fazer logon no PC?

2

Em um domínio de diretório ativo, gostaria de ter alguns PCs atribuídos a pessoas solteiras. Por exemplo, em computer_a, as únicas pessoas com permissão para efetuar logon devem ser person_a e os vários administradores.

Uma solução comum encontrada é usar o GPO Logon Locally, mas isso exigiria a criação de um novo GPO e OU para cada computador, já que cada computador seria atribuído a um usuário diferente. Existe uma maneira melhor?

Uma alternativa possível que estou experimentando é a seguinte:

  • use o GPO para remover do grupo de usuários locais as seguintes contas: NT AUTHORITY \ INTERACTIVE e NT AUTHORITY \ Authenticated Users
  • adicione a conta de domínio do usuário ao grupo de usuários locais

Isto parece funcionar bem, mas estou preocupado com possíveis problemas causados pela remoção dos dois grupos especiais.

Existe uma solução melhor?

    
por Daniel 15.10.2012 / 23:42

1 resposta

1

No final, aqui está o que eu fiz:

  • usou a política "Permitir logon local" para permitir apenas grupos "BUILTIN \ Administrators", "DOMAIN \ Domain Admins" e "allowlogon". Onde allowlogon é um grupo local em cada máquina
  • o grupo local de permissão é criado em cada máquina por meio do GPP
  • em cada máquina logo após ingressar no domínio, basta adicionar o usuário especificado ao grupo allowlogon e ele será o único autorizado a efetuar logon ( net localgroup allowlogon /add DOMAIN\user )
    • Também é possível gerenciar a associação do allowlogon por meio do AD sem usar mais GPOs, mas simplesmente criando um grupo de segurança global para cada computador ( allowlogon-computer1 ) e colocando lá os usuários com permissão para efetuar login. O grupo allowlogon-computer1 precisará ser adicionado ao grupo allowlogon local no computer1, mas isso pode ser feito através do GPP usando allowlogon-% COMPUTERNAME%. (parece não ser possível simplesmente adicionar o allowlogon-% COMPUTERNAME% à política "Permitir logon local")
por 17.10.2012 / 16:12