Negar o grupo de usuários AD a efetuar login em um determinado grupo AD-Computer

Parece que há alguma terminologia confusa aqui entre a UO e o grupo. Uma OU, ou Unidade Organizacional, é basicamente onde você aplica a política de grupo. Um grupo é um grupo de usuários.

Se você quiser usar a abordagem em sua pergunta, precisará criar um grupo que contenha os alunos e consultá-los em sua política.

Se você quiser usar a abordagem do Zoredache (recomendado), será necessário criar um grupo que contenha os professores e consultá-lo em uma política em Configuração do computador - > Preferências - > Configurações do painel de controle - > Usuários e Grupos Locais (substitua Usuários do Domínio pelo grupo Professores).

Será muito melhor não conceder permissões de login aos usuários, em vez de tentar negar o acesso.

Uma solução simples seria apenas usar uma política de grupo para modificar a associação do grupo Usuários nas máquinas locais.

Remova o domain.tld\Domain Users que é adicionado automaticamente depois de ingressar no domínio e, em seguida, adicione um grupo de segurança que contenha o conjunto de usuários que você deseja ter acesso à máquina nesse grupo.

Assim, a associação de .\Users nos computadores Room1 pode ser assim.

• bgs.ac.at \ Estudantes
• bgs.ac.at \ Professores

E o Room2 pode se parecer com isso.

• bgs.ac.at \ Professores