Vraag Sta gebruikers toe om in te loggen op computers in een domein


Ik werk voor een bedrijf dat we op een domein hebben. Op het moment hebben we 8 vergaderzalen en in die vergaderzalen zijn er 8 mini-pc's.

Op dit moment zijn de enige mensen die zich op deze pc kunnen aanmelden admins, omdat we in AD onder onze accounts de optie 'aanmelden bij' alle computers hebben

Dus iedereen in het bedrijf is onder hun account ingesteld als LOGONTO en vervolgens op de pc waar ze zich bevinden.

Wat ik zoek is om iedereen in staat te stellen om in te loggen op de PC van de vergaderruimte zonder de pc-namen te specificeren.

Ik heb een OU in AD met alle vergaderruimtes.

Er zijn meer dan 100 in het bedrijf.

Ik wil dat iedereen kan inloggen op hun eigen computer PLUS de 8 computers in de vergaderruimten.

Ik heb het uren geprobeerd, heb groepsbeleid geprobeerd en ik denk dat ik alles goed heb gedaan, maar ik krijg de foutmelding dat je account niet is geconfigureerd om deze computer te gebruiken, probeer dan een andere computer '

Mini-pc's hebben Windows 7, we gebruiken Windows Server 2008 om te beheren

Hoe kan ik dit doen?


5
2017-10-04 03:28


oorsprong


Moeten ze hun eigen account gebruiken? Zou een generieke account op die pc's voldoende zijn? - Grant
Welnu, welke instellingen zijn in het groepsbeleid bijgewerkt? - Rex


antwoorden:


In plaats van de Inloggen op instellen in de AD-accountinstellingen van uw gebruiker, gebruik de Log lokaal toestaan groepsbeleidsinstelling (te vinden in Groepsbeleid op Computer/Policies/Security Settings/Local Polices).

De Log lokaal toestaan instelling geeft lokale gebruikers of groepen op een werkstation aan die toestemming hebben om zich aan te melden bij die computer. De groepen (en één gebruiker) waaraan toestemming is verleend om zich lokaal aan te melden standaard zijn:

Users
Administrators
Backup Operators
Guest

De AD-beveiligingsgroep Domain Users wordt automatisch lid van de lokale server van een werkstation Users groep wanneer het apparaat lid is van het domein. Dit is hoe AD-gebruikers toestemming krijgen om zich aan te melden bij alle domeincomputers. (Ook de domeingroep Domain Administrators wordt automatisch lid van de lokale Administrators groep.)

Je kunt je doel bereiken door:

  1. Gebruik groepsbeleid om het lidmaatschap van de lokale werkplek van uw werkstation aan te passen Users groep
  2. Gebruik groepsbeleid om de te wijzigen Allow log on locally beleidsinstelling rechtstreeks

Voor elk van deze benaderingen zou het gebruik van het Log On To instellen in de AD-accountinstellingen van uw gebruiker in plaats van bepalen wie zich waar kan aanmelden op basis van hun lidmaatschap (of niet) in een groep die direct in de lijst staat Log lokaal toestaan GP-instelling of is lid van een groep die in dezelfde instelling wordt vermeld.


6
2017-10-04 15:04





Er is helaas geen mogelijkheid om groepen pc's of iets dergelijks te specificeren.

Wat je echter wel kunt doen, is deze mogelijkheid met PowerShell te scripten. Ik weet niet zeker of 2008 dat al ondersteunt.

Zoiets als:
Set-ADUser AntonioAl -LogonWorkstations 'AntonioAl-DSKTOP,AntonioAl-LPTOP'

Je zou dit volledig kunnen scripten om:

  • Lees alle DNS-namen van werkstations in de OU van uw vergaderruimten
  • Ga door alle gebruikers
  • Lees de huidige waarde voor LogonWorkstations
  • Ontbrekende waarden toevoegen in de lijst met vergaderruimten
  • Schrijf de nieuwe waarde voor LogonWorkstations aan de gebruiker

2
2017-10-04 05:48





Als de pc's in de vergaderruimte identiek zijn, in dezelfde OU, niet bijzonder gespecialiseerd, enz., Kunt u beperkte groepen gebruiken om "domeingebruikers" toe te voegen aan de gebruikers (of zelfs hoofdgebruikers). Zorg ervoor dat je de andere gebruikersgroepen die je al in die groep hebt (ik denk dingen als een willekeurige asp.net-account, enz.), Anders zullen ze uit de groep worden gegooid die je gebruikt.

(Ik gebruikte en misbruik deze instelling om speciale gebruikers toe te voegen aan de groep Administrators.)


0
2017-10-05 01:57