No final, aqui está o que eu fiz:
- usou a política "Permitir logon local" para permitir apenas grupos "BUILTIN \ Administrators", "DOMAIN \ Domain Admins" e "allowlogon". Onde allowlogon é um grupo local em cada máquina
- o grupo local de permissão é criado em cada máquina por meio do GPP
- em cada máquina logo após ingressar no domínio, basta adicionar o usuário especificado ao grupo allowlogon e ele será o único autorizado a efetuar logon (
net localgroup allowlogon /add DOMAIN\user)- Também é possível gerenciar a associação do allowlogon por meio do AD sem usar mais GPOs, mas simplesmente criando um grupo de segurança global para cada computador (
allowlogon-computer1) e colocando lá os usuários com permissão para efetuar login. O grupo allowlogon-computer1 precisará ser adicionado ao grupo allowlogon local no computer1, mas isso pode ser feito através do GPP usando allowlogon-% COMPUTERNAME%. (parece não ser possível simplesmente adicionar o allowlogon-% COMPUTERNAME% à política "Permitir logon local")
- Também é possível gerenciar a associação do allowlogon por meio do AD sem usar mais GPOs, mas simplesmente criando um grupo de segurança global para cada computador (