A maneira que você mencionou é a melhor maneira de fazer isso.
Você pode configurar isso em cada computador individual, mas não há benefícios. Fazer isso via GPO é muito mais escalável.
Eu tenho um pequeno grupo de servidores de desktop e não quero que ninguém consiga fazer logon localmente, exceto para administradores.
Temos um Windows 2003 AD e os servidores estão executando o Windows 7 Pro.
Eu sei que posso:
Crie uma UO no AD com os computadores mencionados e atribua uma Diretiva de Grupo a essa UO. Em seguida, no Editor de Diretiva de Grupo, vá para: Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Allow log on locally
e exclua todos os grupos / usuários, exceto Domain Administrators, Remote Users, and Administrators
?
É melhor fazer isso através da Política de Grupo ou configurá-lo em cada máquina?