none
Локальный вход тока через учётную запись AD RRS feed

  • Вопрос

  • Доброе время суток! Заранее спасибо! Необходимо через групповые политики отключить локальный вход пользователей компьютера то есть вход на компьютер тока с учётной записи AD(Windows Server 2008 R2)
    27 ноября 2012 г. 11:08

Ответы

  • в политиках за это отвечают 2 параметра

    явный запрет, и разрешение


    • Изменено Stas Vershinin 27 ноября 2012 г. 12:57
    • Помечено в качестве ответа Yuriy Lenchenkov 11 декабря 2012 г. 10:05
    27 ноября 2012 г. 12:56
  • При редактировании данных политик к примеру того же Локального входа если я хочу добавить пользователя то выходит окошко в котором добавляются учетки которые надо заблочить но эти учётки он берёт с AD то есть если я укажу блок "Администратора" то он заблочит администратора AD мне же надо заблочить с помощью AD доступ на компьютер с учёток самого компа. Есть какие нить предложения на счёт этого?

    эх проблемка...

    Не нужно никого блокировать. Как вам ранее написали - нужно использовать параметр политики  "Allow  logon locally" (или "Локальный вход в систему" в русском варианте). В этом параметре нужно просто перечислить пользователей и группы, которым можно логиниться на компьютеры или сервера. В вашем варианте можно, например, оставить только: группу "Domain Users" и пользователей Administrator и Администратор.


    Далее политику линкуете на OU с компьютерами, к которым необходимо её применить. Только не применяйте сразу политику на всё. Создайте тестовое OU, поместите туда пару компьютеров и потестируйте.
    • Изменено Evgenii Alekseev 28 ноября 2012 г. 10:28
    • Помечено в качестве ответа Yuriy Lenchenkov 11 декабря 2012 г. 10:06
    28 ноября 2012 г. 10:26

Все ответы

  • проще всего удалить/отключить все локальные учетки

    27 ноября 2012 г. 11:39
    Модератор
  • в политиках за это отвечают 2 параметра

    явный запрет, и разрешение


    • Изменено Stas Vershinin 27 ноября 2012 г. 12:57
    • Помечено в качестве ответа Yuriy Lenchenkov 11 декабря 2012 г. 10:05
    27 ноября 2012 г. 12:56
  • Я бы воспользовался политикой "Allow logon locally": http://technet.microsoft.com/en-us/library/ee957044(v=ws.10).aspx

    27 ноября 2012 г. 13:05
  • Я бы воспользовался политикой "Allow logon locally": http://technet.microsoft.com/en-us/library/ee957044(v=ws.10).aspx

    Я понял так, что эта политика касается только контроллеров домена. Автор темы хочет же запретить логиниться на обычный сервер локальными учётками.

    Сергей Панченко

    28 ноября 2012 г. 2:44
  • Я хочу заблочить на машинах учетки самих машин к примеру того же самого Администратора что бы они не могли зайти на комп без учётки Activ Derectory. 
    28 ноября 2012 г. 9:15
  • При редактировании данных политик к примеру того же Локального входа если я хочу добавить пользователя то выходит окошко в котором добавляются учетки которые надо заблочить но эти учётки он берёт с AD то есть если я укажу блок "Администратора" то он заблочит администратора AD мне же надо заблочить с помощью AD доступ на компьютер с учёток самого компа. Есть какие нить предложения на счёт этого?

    эх проблемка...

    28 ноября 2012 г. 9:29
  • Как это сделать?
    28 ноября 2012 г. 9:30
  • При редактировании данных политик к примеру того же Локального входа если я хочу добавить пользователя то выходит окошко в котором добавляются учетки которые надо заблочить но эти учётки он берёт с AD то есть если я укажу блок "Администратора" то он заблочит администратора AD мне же надо заблочить с помощью AD доступ на компьютер с учёток самого компа. Есть какие нить предложения на счёт этого?

    эх проблемка...

    Не нужно никого блокировать. Как вам ранее написали - нужно использовать параметр политики  "Allow  logon locally" (или "Локальный вход в систему" в русском варианте). В этом параметре нужно просто перечислить пользователей и группы, которым можно логиниться на компьютеры или сервера. В вашем варианте можно, например, оставить только: группу "Domain Users" и пользователей Administrator и Администратор.


    Далее политику линкуете на OU с компьютерами, к которым необходимо её применить. Только не применяйте сразу политику на всё. Создайте тестовое OU, поместите туда пару компьютеров и потестируйте.
    • Изменено Evgenii Alekseev 28 ноября 2012 г. 10:28
    • Помечено в качестве ответа Yuriy Lenchenkov 11 декабря 2012 г. 10:06
    28 ноября 2012 г. 10:26
  • для этого достаточно для параметра - локальный вход в систему

    добавить только группу Пользователи домена

    Локальные пользователи не смогут входить

    28 ноября 2012 г. 12:17
  • Вообще вы таким образом стреляете себе в ногу. В случае проблем у вас не будет запасного варианта входа. Рекомендую оставить возможность входить учетной записи локального администратора, но сменить ей пароль во всем домене политикой.
    28 ноября 2012 г. 12:36
  • и никого из доменных юзеров не делать админами на машинах.

    28 ноября 2012 г. 14:15
    Модератор
  • NomaD_Ast,вопрос актуален?

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    3 декабря 2012 г. 11:57
    Модератор
  • Уважаемый пользователь!
    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    10 декабря 2012 г. 11:07
    Модератор