Tig*_*ger 5 windows domain group-policy
我为我们在域上的公司工作。目前我们有 8 间会议室,在这些会议室中有 8 台迷你电脑。
目前,唯一被允许登录这台 PC 的人是管理员,因为在我们帐户下的 AD 中,我们可以选择“登录”所有计算机
因此,公司中的其他所有人都在他们的帐户下设置为 LOGONTO,然后是他们所在的 PC。
我正在寻找的是让每个人都能够在不指定 PC 名称的情况下登录到会议室 PC。
我在 AD 有一个 OU,里面有所有的会议室。
公司有100多人。
我希望每个人都能够登录自己的计算机以及会议室中的 8 台计算机。
我已经尝试了几个小时,尝试了组策略,我认为我做的一切都是正确的,但我收到错误消息,您的帐户未配置为使用这台计算机,请尝试另一台计算机”
迷你电脑有windows 7,我们使用windows server 2008来管理
我该怎么做?
不要使用用户 AD 帐户设置中的“登录到”设置,而是利用“允许本地登录”组策略设置(在 组策略中找到Computer/Policies/Security Settings/Local Polices)。
在允许本地登录设置指定必须登录到机器权限的工作站上的本地用户或组。默认情况下被授予本地登录权限的组(和一个用户)是:
Users
Administrators
Backup Operators
Guest
当计算机加入域时,AD 安全组Domain Users会自动成为工作站本地Users组的成员。这就是 AD 用户如何获得登录所有域计算机的权限。(此外,域组Domain Administrators会自动成为本地Administrators组的成员。)
您可以通过以下任一方式实现您的目标:
Users组的成员资格Allow log on locally直接修改策略设置这两种方法中的任何一种都需要放弃使用Log On To用户 AD 帐户设置中的设置,转而根据他们在允许本地登录GP 设置中直接列出的组中的成员身份(或不)控制谁可以登录的位置,或者是在同一设置中列出的组的成员。
不幸的是,无法指定电脑组或类似的东西。
不过,您可以使用 PowerShell 编写此功能的脚本。我不确定 2008 年是否已经支持这一点。
就像是:
Set-ADUser AntonioAl -LogonWorkstations 'AntonioAl-DSKTOP,AntonioAl-LPTOP'
您可以将其完全编写为: