Existe-t-il une méthode dans le réseau de domaine qui empêche uniquement la connexion au compte d'utilisateur local (utilisateur local du client)?

0

J'ai été à la recherche d'une méthode dans le réseau de domaine pour empêcher uniquement l'ouverture de session «compte d'utilisateur local (utilisateur local de clients)» (mais le «compte d'utilisateur de domaine» doit toujours pouvoir être connecté aux clients)

J'essaie de le faire avec la stratégie "refuser la connexion locale" par le biais de la gestion de la stratégie de groupe, mais il n'y a pas de groupe pour le "compte d'utilisateurs locaux", mais nous pouvons ajouter le groupe "utilisateurs du domaine" à cette stratégie "refuser la connexion locale", puis les utilisateurs du domaine. ne peut pas se connecter au poste de travail, existe-t-il un tel groupe pour les "utilisateurs locaux" ????

explication supplémentaire

dans la boîte de dialogue de stratégie "Autoriser la connexion locale" dans la "stratégie de contrôleur de domaine par défaut" de l'onglet Expliquer, il est mentionné que cette stratégie s'applique par défaut aux utilisateurs suivants

valeur par défaut sur le poste de travail et le serveur: administrateurs, opérateurs de sauvegarde, utilisateurs.

valeur par défaut sur le contrôleur de domaine: administrateurs, opérateurs de sauvegarde, opérateurs d’impression, opérateurs de serveur. **

En fonction de ces valeurs par défaut, je pense qu’il devrait exister un moyen de définir un tel groupe d’utilisateurs locaux dans la stratégie "Refuser la connexion locale", mais chaque fois que je souhaite ajouter ce groupe d’utilisateurs locaux à la stratégie "Refuser la connexion locale", le système uniquement groupe de domaine identifié ou "utilisateur local du serveur", par exemple, lorsque je saisis "utilisateurs" dans la zone "ajouter un utilisateur & groupe" dans la stratégie "Refuser la connexion locale", le système l'identifie comme groupe de "utilisateur local du serveur" et non le "utilisateurs locaux du client (poste de travail)", à la suite de ce réglage, je ne pouvais même pas me connecter à mon serveur avec un compte administrateur!

Voici une méthode que j'essaie et ne fonctionne pas pour moi (tous les clients ont été joints au domaine et au nom de domaine et au serveur de ping)

  • J'essaie d'ajouter le nom de l'ordinateur dans la "stratégie de contrôleur de domaine par défaut" dans la zone "ajouter un utilisateur et un groupe" dans la stratégie "refuser la connexion locale" et lorsque j'appuie sur le bouton Check-Name, il est ajouté avec le nom "nomdomaine \ nomordinateur $". mais n'a aucun effet et tout utilisateur peut toujours se connecter à cet ordinateur.

  • J'essaie d'ajouter nom_ordinateur \ nom_utilisateur_local dans la zone "ajouter un utilisateur et un groupe" dans la stratégie "refuser la connexion locale", mais lorsque j'appuie sur le bouton de nom de vérification, le client n'a même pas été identifié.

Je sais (et je l'ai fait) que, dans la zone "ajouter un utilisateur et un groupe", il faut cliquer sur le bouton Parcourir, puis sur le type d'objet et vérifier les ordinateurs.

networking login group-policy local-groups Shayan Star
la source
Donc, vous voulez seulement que les utilisateurs avec des comptes de domaine puissent se connecter? Assez simple ... Ne créez pas de compte local sur la machine. Windows 7 et les versions ultérieures (je ne sais pas si Vista l’avait) ont le compte administrateur désactivé par défaut. Le seul moment où vous créez un compte est pendant l'installation de Windows. Si vous associez la machine à un domaine (et que vous configurez des groupes locaux pour y inclure des groupes de domaines), vous pouvez théoriquement supprimer le compte que vous avez créé initialement et SEULEMENT les utilisateurs de votre domaine peuvent se connecter.
Kinnectus
tnx pour répondre chris, mais j'ai déjà des utilisateurs locaux dans mes clients et je ne veux pas leur permettre de se connecter localement à partir de la stratégie du serveur ou de rester assis derrière chaque client et de supprimer leur compte local
Shayan Star
Je pense que, parce que vous avez déjà des utilisateurs locaux sur les machines, un contrôleur de domaine ne pourra pas les empêcher de se connecter. Vous pouvez écrire un script complexe qui traverse vos utilisateurs via le registre, obtient leur ID utilisateur et compose leur compte. s'ils ne sont pas un compte de domaine ... Le problème que vous avez est que, en joignant l'ordinateur au domaine, vous (l'administrateur) confirmez un niveau de confiance entre le client et le contrôleur de domaine, ce qui inclut les comptes créés localement.
Kinnectus
vous avez raison, mais je cherche toujours une solution sans script :)
Shayan Star
La stratégie de groupe "Refuser la connexion locale" est utilisée lorsque vous souhaitez qu'un compte d'utilisateur d'ordinateur local soit actif et que vous puissiez vous connecter à la machine via le réseau sans pouvoir vous connecter à la console. Est-ce vraiment ce que vous voulez dans ce cas?
Rakslice