Eu tenho uma rede muito pequena com um punhado de usuários e máquinas. Gostaria de controlar quais usuários podem acessar quais máquinas usando a Diretiva de Grupo.
Aqui está uma visão geral básica da minha configuração atual.
Todas as máquinas estão no grupo Computadores do domínio
Dois computadores estão no grupo Management Computers . Eles são usados para funcionários de gerenciamento que têm acesso a dados mais confidenciais.
Todos os usuários estão no grupo Usuários do domínio
Dois usuários estão no grupo Usuários de gerenciamento . Esses usuários têm acesso a tudo que os usuários do domínio fazem, além de compartilhamentos de arquivos adicionais.
Eu tenho uma Política de computador padrão que uso para aplicar configurações globais a todas as máquinas da minha rede. Isso inclui configurações como exceções de firewall para a Área de Trabalho Remota e a adição de Usuários do Domínio ao grupo Administradores local da máquina. Esta política se aplica ao grupo Domin Computers . Também estou definindo os direitos Permitir logon localmente e Permitir logon pelos serviços de terminal para se aplicarem a usuários do domínio
Eu tenho uma Política de gerenciamento de computador que gostaria de usar para substituir configurações específicas que estão na diretiva de computador padrão. Ou seja, estou definindo os direitos Permitir logon localmente e Permitir logon pelos serviços de terminal para incluir apenas os grupos Gerenciamento e Administradores.
Todas essas políticas estão ativadas e vinculadas ao meu domínio raiz. Não estou usando nenhuma UOs. Eu li que, para uma rede tão pequena, as UOs são exageradas e não devem ser necessárias. Eu defini a ordem de link neste domínio para que as políticas de gerenciamento estejam no topo e as políticas de usuário normais estejam abaixo, terminando com a Política de Domínio Padrão.
Eu esperaria que as configurações de Logon na minha política de gerenciamento substituíssem minha política de computador padrão. No entanto, quando olho na Diretiva de Segurança Local para um computador no grupo Computadores de Gerenciamento, vejo os grupos especificados em minhas configurações padrão, não a Política de Gerenciamento. Eu tentei usar gpupdate /force
e também reiniciar o maching, e isso não funciona. Eu consigo fazer login usando um usuário que está apenas no grupo Usuários do Domínio .
O que eu estou entendendo mal aqui e o que devo fazer para realizar o que estou procurando?