Atualmente, tenho um usuário DOMAINJOINER (localizado na UO WIN7Support) que uso para implantar máquinas com Windows 7. Esse usuário pode criar e excluir objetos de computador na unidade organizacional WIN7Computers, isso é sobre o acesso, mas ele também está no grupo de usuários do domínio. Quando os novos computadores com Windows 7 são inicializados (via imagem personalizada), eles usam credenciais de DOMAINJOINER para ingressar no domínio. Quando os computadores ingressam no domínio, eles são adicionados à UO WIN7Computers (isso é definido na imagem personalizada).
A unidade organizacional WIN7Computers manterá todas as máquinas com Windows 7.
Em um de nossos GPOs, tenho uma configuração que faz o seguinte:
Negar logon como um trabalho em lotes: domínio \ DOMAINJOINER Negar logon localmente: domínio \ DOMAINJOINER Negar logon pelos serviços de terminal: domínio \ DOMAINJOINER
infelizmente, este GPO só pode ser vinculado ao OU WIN7Computers e não à UO WIN7Support onde reside o usuário DOMAINJOINER.
Minha pergunta é: como posso impedir que DOMAINJOINER faça logon interativamente em qualquer computador no domínio e ainda permitir que a imagem personalizada continue a usar credenciais de DOMAINJOINER para permitir que computadores ingressem no domínio?