Temos um design de OU em nosso domínio no qual cada "sistema" (serviços da Web e semelhantes) tem sua própria OU, em que estão aninhados os servidores e as contas que ele usa:
...
+ System A
+ Servers
- SRV-A1
- SRV-A2
+ ServiceAccounts
- Svc-Foo
- Svc-Bar
+ System B
+ Servers
- SRV-B1
- SRV-B2
+ ServiceAccounts
- Svc-Baz
- Svc-Qux
Estou tentando criar um único GPO que inclua "Fazer logon como um serviço" em todos os servidores de um sistema em todas as contas na OU das contas de serviço correspondentes. Portanto, Svc-Foo e Svc-Bar devem poder fazer logon como um serviço em SRV-A1 e SRV-A2 , enquanto Svc-Baz e Svc-Qux devem ser capazes de fazer logon como um serviço em SRV-B1 e% código%.
Eu acho que eu deveria conseguir fazer isso usando a segmentação por nível de item, mas ainda não descobri como parametrizá-lo. Estou correto nisso? E isso é possível?
O domínio está atualmente no nível funcional 2008R2, mas devemos ser capazes de aumentá-lo para 2012R2 "muito em breve", se necessário.
Não tenho certeza se você pode alcançar isso: a segmentação no nível do item é um recurso das Preferências da Política de Grupo e, até onde sei, não há nenhuma maneira de atribuir os direitos "Fazer logon como um serviço".
Se você pudesse encontrar uma chave de registro equivalente, você pode fazer isso, mas um Google rápido não resultou em nada.
Então, salvo isso, você precisaria de um GPO em cada nível "System [x]" ou em cada nível "Servidores".