ユーザーがドメイン内のコンピューターにログオンできるようにする
私はドメインに所属している会社で働いています。現時点では、8つの会議室があり、それらの会議室には8つのミニPCがあります。
現時点では、このPCへのログオンが許可されているのは管理者のみです。ADのアカウントでは、すべてのコンピューターに「ログオン」するオプションがあるためです。
そのため、会社の他の全員が自分のアカウントの下にLOGONTOとしてセットアップされ、次に彼らがいるPCがセットアップされます。
私が探しているのは、PC名を指定せずに全員が会議室のPCにログオンできるようにすることです。
ADにすべての会議室のOUがあります。
会社には100を超える従業員がいます。
全員が自分のコンピューターに加えて、会議室にある8台のコンピューターにログオンできるようにしたい。
私は何時間も試しましたが、グループポリシーを試しましたが、すべてが正しく行われたと思いますが、アカウントがこのコンピューターを使用するように構成されていないというエラーメッセージが表示されます。別のコンピューターを試してください。
ミニPCにはWindows 7があり、Windows Server 2008を使用して管理しています
これを行うにはどうすればよいですか?
ユーザーのADアカウント設定でログオン設定を使用する代わりに、ローカルでログオンを許可グループポリシー設定(Computer/Policies/Security Settings/Local Policesのグループポリシーにあります)を利用します。 。
ローカルログオンを許可設定は、そのマシンにログオンする権限を持つワークステーション上のローカルユーザーまたはグループを指定します。ローカルでログオンする権限がデフォルトで付与されているグループ(および1人のユーザー)は次のとおりです。
Users
Administrators
Backup Operators
Guest
マシンがドメインに参加すると、ADセキュリティグループDomain Usersは自動的にワークステーションのローカルUsersグループのメンバーになります。これは、ADユーザーがすべてのドメインコンピューターにログオンするためのアクセス許可を取得する方法です。 (また、ドメイングループDomain Administratorsは自動的にローカルAdministratorsグループのメンバーになります。)
次のいずれかの方法で目的を達成できます。
- グループポリシーを使用して、ワークステーションのローカル
Usersグループのメンバーシップをカスタマイズします - グループポリシーを使用して
Allow log on locallyポリシー設定を直接変更する
これらの方法のいずれかでは、ユーザーのADアカウント設定でLog On To設定の使用を放棄して、-に直接リストされているグループのメンバーシップに基づいて(またはそうではない)グループにログオンできるユーザーを制御することを優先する必要があります。 ローカルログオンを許可 GP設定、または同じ設定にリストされているグループのメンバーです。
残念ながら、PCなどのグループを指定することはできません。
ただし、PowerShellを使用してこの機能をスクリプト化することができます。しかし、2008がすでにそれをサポートしているかどうかはわかりません。
何かのようなもの:Set-ADUser AntonioAl -LogonWorkstations 'AntonioAl-DSKTOP,AntonioAl-LPTOP'
これを次のように完全にスクリプト化できます。
- 会議室OU内のすべてのワークステーションDNS名を読み取ります
- すべてのユーザーを通過
- LogonWorkstationsの現在の値を読み取ります
- 会議室リストから欠落している値を追加する
- LogonWorkstationsの新しい値をユーザーに書き込む
会議室のPCが同一で、同じOU内にあり、特別なものではないなどの場合、制限付きグループを使用して、「ドメインユーザー」をユーザー(またはパワーユーザー)グループに追加できます。そのグループにすでに持っている他のユーザーグループ(asp.netアカウントなどのことを考えている)を含めることを確認してください。そうしないと、使用しているグループから除外されます。
(私はこの設定を使用して悪用し、特別なユーザーをAdministratorsグループに追加していました。)