Como impedir o login de computadores específicos com a diretiva de grupo

Navegue suas respostas
1

Eu tenho uma rede muito pequena com um punhado de usuários e máquinas. Gostaria de controlar quais usuários podem acessar quais máquinas usando a Diretiva de Grupo.

Aqui está uma visão geral básica da minha configuração atual.

Todas as máquinas estão no grupo Computadores do domínio Dois computadores estão no grupo Management Computers . Eles são usados para funcionários de gerenciamento que têm acesso a dados mais confidenciais.

Todos os usuários estão no grupo Usuários do domínio Dois usuários estão no grupo Usuários de gerenciamento . Esses usuários têm acesso a tudo que os usuários do domínio fazem, além de compartilhamentos de arquivos adicionais.

Eu tenho uma Política de computador padrão que uso para aplicar configurações globais a todas as máquinas da minha rede. Isso inclui configurações como exceções de firewall para a Área de Trabalho Remota e a adição de Usuários do Domínio ao grupo Administradores local da máquina. Esta política se aplica ao grupo Domin Computers . Também estou definindo os direitos Permitir logon localmente e Permitir logon pelos serviços de terminal para se aplicarem a usuários do domínio

Eu tenho uma Política de gerenciamento de computador que gostaria de usar para substituir configurações específicas que estão na diretiva de computador padrão. Ou seja, estou definindo os direitos Permitir logon localmente e Permitir logon pelos serviços de terminal para incluir apenas os grupos Gerenciamento e Administradores.

Todas essas políticas estão ativadas e vinculadas ao meu domínio raiz. Não estou usando nenhuma UOs. Eu li que, para uma rede tão pequena, as UOs são exageradas e não devem ser necessárias. Eu defini a ordem de link neste domínio para que as políticas de gerenciamento estejam no topo e as políticas de usuário normais estejam abaixo, terminando com a Política de Domínio Padrão.

Eu esperaria que as configurações de Logon na minha política de gerenciamento substituíssem minha política de computador padrão. No entanto, quando olho na Diretiva de Segurança Local para um computador no grupo Computadores de Gerenciamento, vejo os grupos especificados em minhas configurações padrão, não a Política de Gerenciamento. Eu tentei usar gpupdate /force e também reiniciar o maching, e isso não funciona. Eu consigo fazer login usando um usuário que está apenas no grupo Usuários do Domínio .

O que eu estou entendendo mal aqui e o que devo fazer para realizar o que estou procurando?

    
por mclark1129 08.03.2014 / 00:15

1 resposta

3

Use uma UO - não existe rede pequena demais para usar uma UO. Aplique as políticas à UO, pois não é possível aplicar diretivas de grupo ao contêiner de usuários e computadores padrão.

Se você quiser usar essa configuração, eu criaria uma UO "Computador", moveria todas as contas de computador normais para essa UO e aplicaria a UO da empresa padrão lá. Crie uma UO "MgmtComputers" UO filho fora da UO Computador e aplique apenas a UO do computador de Gerenciamento lá.

Editar: BTW - se você estiver definindo "usuários de domínio" como administradores locais em sua política de computador padrão e permitir que "Fazer logon local" inclua o grupo de administradores, já que todos os usuários de domínio são administradores locais, ainda permitiria usuário para acessar todos os computadores.

    
por 08.03.2014 / 00:23

Tags

Servidor http leve para OSX e Linux? [fechadas] O Microsoft Exchange 2010 tem dois tipos de grupos de distribuição?