web-dev-qa-db-ja.com

すべてのローカルアカウントと一部のドメインアカウントに対して「ローカルでログオンを許可」できますか?

一部のマシンで「ローカルでログオンを許可する」GPOを使用して、それらを使用できるユーザーを制限しました。マシン/ユーザーのセットごとに個別のGPOを作成/リンクする必要があるのは不愉快です(必要なときにアイテムレベルのターゲティングはどこにありますか?)。問題...

ログインできるADユーザーを制限する必要がありますが、知識のある、または知識のないすべてのローカルアカウントも許可する必要があります。ローカル管理/構成および/またはテスト用のローカルアカウントを作成する外部ベンダーによって作成/サポートされるマシンがあります。これらのローカルアカウントはログインできる必要があり、必ずしも特別なローカルグループに属しているとは限りません。

「ローカルログオンを許可する」とグループポリシーの基本設定の間にある種のハイブリッドを構成する方法はありますか?特定のユーザー/グループを対象として、ローカルグループに追加または削除することなく、グループに参加しているユーザーを明確に定義する必要はありませんか?基本的に、すべてのADアカウントのログオンの削除を重ねて、ローカルアカウントのログオン機能に影響を与えずに、いくつかの制限されたADグループなどにログインできるようにします。

これは可能ですか?動的に入力できるレジストリキーがある場合、起動スクリプトに反対しているわけではありません。

ありがとう。

windowsactive-directorygroup-policyloginuser-permissions
3
Teknowledgist

これは、当初考えていたよりもはるかに簡単に実現できます。実行する必要があるのは、Local accountに「ローカルログオンを許可する」権利を付与することだけです。

Local account既知のセキュリティ識別子 (S-1-5-113)です。これは、メンバーシップがルールに基づいて暗黙的であることを除いて、グループに似ています:この場合、すべてローカルアカウントはメンバーです。

作成したローカルグループに「ローカルログオンを許可する」も付与する場合は、アイテムレベルのターゲティングを含むグループポリシーを使用して、そのグループにログオンアクセスする必要があるドメインユーザーを追加できます。

したがって、ログオンアクセスを許可するようにグループポリシーを設定することをお勧めします。

  • Administrators
  • Local account
  • Authorized domain users
3
Harry Johnston

これらのローカルアカウントはログインできる必要があり、必ずしも特別なローカルグループに属しているとは限りません。

すべてのローカルユーザーアカウントはalwaysが次の2つのローカルグループの少なくとも1つに存在します。

  1. 管理者

  2. ユーザー

したがって、これらの2つのグループを「ローカルログオンを許可する」ユーザー権利に追加するだけで、すべてのローカルユーザーアカウントがローカルにログオンできるようになります。

1
joeqwerty