none
Limitare il logon di un utente RRS feed

  • Domanda

  • Buongiorno,

    è possibile fare in modo che un utente non possa loggarsi localmente ad una macchina e preservare al contempo la possibilità di eseguire programmi sulla medesima macchina(per intenderci esegui come altro utente)?

    Al momento l'utente in questione fa parte dei Domain Admins e può loggarsi su tutte le macchine; gradirei che non possa fare logon su alcuna macchina (intendo localmente) ma vorrei poter usare le sue credenziali quando sono richieste quelle di amministratore.

    Grazie!

    venerdì 10 marzo 2017 11:55

Risposte

  • Purtroppo il logon interattivo è direttamente collegato al "run as", quindi disabilitandolo non sarà possibile nemmeno eseguire applicazioni con l'utente.
    L'unico modo è utilizzare un workaround, ovvero non negare il logon interattivo ma collegare l'utente ad una Group policy che sostituisce la shell predefinita di Windows con un'eseguibile che esegue il logout.
    Qui puoi trovare uno spunto:
    https://msdn.microsoft.com/en-us/library/aa479087.aspx?f=255&MSPPError=-2147217396
     
    Il criterio preciso è Configurazione utente > Modelli amministrativi > Sistema > Interfaccia utente personalizzata. Come eseguibile puoi provare ad utilizzare:
    shutdown.exe /l

    venerdì 10 marzo 2017 12:48
    Moderatore