Posso usar o diretório ativo para permitir que um grupo de usuários faça logon usando um grupo de computadores?

O comportamento padrão em um domínio do AD é adicionar automaticamente o grupo de domínio "Usuários do Domínio" ao grupo local "Usuários" em cada computador ingressado no domínio; isso permite que todos os membros de "Usuários do Domínio" (que, por padrão, contém todas as contas de usuário no domínio) façam logon em qualquer computador no domínio.

Se você tiver uma configuração não padrão que não permita que todos os usuários façam logon em todos os computadores, isso pode ser devido a dois motivos: as contas de usuário do AD foram removidas do grupo de usuários "Usuários do Domínio" ou esse grupo não é membro do grupo "Usuários" local com seus computadores. Você deve verificar essas duas configurações e corrigi-las se elas não estiverem corretas.

1. Crie um grupo de segurança em usuários e computadores do Active Directory
2. Vá para o computador associado ao domínio e adicione o grupo AD Security ao grupo local (Usuários da Área de Trabalho Remota, por exemplo)
3. Adicione os usuários (que precisam de acesso ao computador) como membros do grupo de segurança

Se você tiver muitos computadores e diferentes "funções de usuário", convém estabelecer uma convenção de nomenclatura para esses grupos de segurança que fornecem acesso a diferentes computadores, como:

acesso - nome_do_computador - função

Portanto, um grupo de usuários de área de trabalho remota para um computador denominado COMPUTER1 possui um grupo de segurança de AD correspondente chamado: "Access - COMPUTER1 - Usuários de área de trabalho remota"

Parece que você deseja usar a Diretiva de grupo .

Você deve agrupar suas contas de computador em UOs (Unidades Organizacionais) e criar um GPO (Objeto de Diretiva de Grupo) por UO que especifique o atributo "Usuários que podem fazer logon neste computador" na diretiva do computador (não do usuário).

Em vez de tentar configurar isso nas propriedades do Computador, por que não usar as diretivas de grupo para modificar a associação do grupo Usuários e Administradores locais na estação de trabalho. Além disso, você pode usar políticas para modificar as políticas de segurança, como logon local, logon da rede, etc.

Então, você está usando as propriedades "fazer logon" da conta de usuário para restringir a estação de trabalho na qual cada usuário pode fazer logon, mas agora deseja permitir que os membros de um grupo de segurança efetuem logon em uma estação de trabalho compartilhada? br>
Acho que você pode conceder a um grupo de segurança a permissão "permissão para autenticar" no próprio objeto do computador no AD e depois remover "usuários autenticados", "Todos", "usuários do domínio" etc., se desejar restringir o acesso à estação de trabalho.

No entanto, o problema é que você já especificou uma lista de estações de trabalho em cada conta de usuário à qual esse usuário tem permissão para efetuar logon. Eu acho que você vai ter que acabar usando as permissões de conta de computador para restringir as coisas de forma adequada e remover sua configuração sob as contas de usuário caso contrário você teria que adicionar cada estação de trabalho compartilhada à lista de computadores permitidos na conta de cada usuário. / p>