Você deseja limitar isso usando a propriedade "Fazer logon em" na guia "Conta" da conta do usuário no ADUC. Não se incomode em mexer no GPO de um único usuário que você precisa limitar.
Estou tentando configurar uma conta limitada para uma empresa externa no diretório ativo. Eles precisam se conectar a um servidor para configurar seu software. Eu criei um novo grupo chamado "Acesso Limitado", que é o seu grupo principal, e os removi de todos os outros grupos, incluindo Usuários do Domínio. Ainda não lhes atribui nenhuma permissão ao servidor ao qual eles devem ter acesso.
Mas, aparentemente, isso não é suficiente para impedi-los de fazer login em todos os meus servidores. Eles são incapazes de acessar qualquer coisa via RDP, mas podem se conectar localmente aos meus servidores Windows 2008R2.
Examinei todas as políticas de grupo e "Configuração do Computador \ Políticas \ Configurações do Windows \ Configurações de Segurança \ Políticas Locais \ Atribuição de Direitos de Usuário \ Permitir logon local" está indefinida.
Na Política de Segurança Local, a mesma configuração lista "Administradores, Operadores de Cópia, Usuários". Os usuários incluem alguém no diretório ativo, mesmo que não estejam em usuários do domínio?
Eu quero que esse usuário em particular tenha permissão para fazer login em um servidor para configurar o software. O que preciso fazer para impedir que eles façam login em outros sistemas?
Editar: um pouco mais de escavação mostra Usuários autenticados e INTERACTIVE são membros do grupo Usuários locais ... pelo que li, pode ser insensato mudar isso. Então, qual é a maneira correta de criar uma conta de usuário com acesso a NADA e, em seguida, dar-lhes permissões específicas para algumas máquinas?