Posso “permitir logon localmente” para TODAS as contas locais e algumas contas de domínio?

Navegue suas respostas
1

Eu usei um GPO "Permitir logon local" em algumas máquinas para restringir quem pode usá-las. É chato ter que criar / vincular um GPO separado para cada conjunto de máquinas / usuários (onde é a segmentação no nível do item quando você precisa?), Mas agora estou me deparando com um problema mais difícil ...

Eu preciso restringir os usuários do AD que podem fazer login, mas também permitir que TODAS as contas locais das quais eu possa ou não ter conhecimento. Temos máquinas criadas / suportadas por fornecedores externos que criam contas locais para administração / configuração local e / ou testes. Essas contas locais precisam ser capazes de fazer login e não estão necessariamente em nenhum grupo local especial.

Existe alguma maneira de configurar algum tipo de híbrido entre "Permitir logon localmente" e as preferências de diretiva de grupo onde eu possa segmentar usuários / grupos específicos para adicionar ou remover de grupos locais sem precisar definir EXATAMENTE quem está em um grupo? Basicamente, eu quero camada de remoção de logon para todas as contas do AD, em seguida, permitir o login para alguns grupos de AD limitados e tudo ao mesmo tempo, não tocando a capacidade de logon de contas locais.

Isso é possível? Não me oponho a scripts de inicialização se houver uma chave de registro que eu possa preencher dinamicamente ou algo assim.

Obrigado.

    
por Teknowledgist 25.07.2018 / 22:12

2 respostas

2

Isso é muito mais simples de conseguir do que eu pensava inicialmente: tudo que você precisa fazer é conceder o direito "Permitir logon localmente" a Local account .

Local account é um identificador de segurança conhecido (S-1-5-113), que é semelhante a um grupo, exceto que a associação é implícita com base em uma regra: nesse caso, todas as contas locais são membros.

Se você também conceder "Permitir logon local" a um grupo local criado, use a diretiva de grupo com segmentação no nível de item para adicionar os usuários do domínio que devem ter acesso de logon a esse grupo.

Por isso, sugiro que você defina sua política de grupo para permitir o acesso de login a:

  • Administrators
  • Local account
  • Authorized domain users
por 27.07.2018 / 03:45
1

Those local accounts need to be able to log in, and they are not necessarily in any special, local group.

Todas as contas de usuários locais sempre estarão em pelo menos um desses dois grupos locais:

  1. Administradores

  2. Usuários

Portanto, adicionar esses dois grupos ao direito de usuário "Permitir logon local" será suficiente para garantir que todas as contas de usuários locais possam fazer logon localmente.

    
por 26.07.2018 / 03:07

Tags

O que realmente significa iodepth in fio tests? É a profundidade da fila? Teste se a alteração do firewall UFW impediria que eu me reconectasse