Удалите «DOMAIN \ Domain Users» и добавьте «DOMAIN \ username», чтобы разрешить локальный вход

616
biiboy

Я создал командный файл, чтобы удалить «домен \ Пользователи домена» из локальной политики безопасности «Разрешить вход в систему» ​​и заменить его «домен \ имя пользователя». Это работает. Это мой сценарий:

Сначала удалите ненужную группу:

C: \ ntrights.exe -r SeInteractiveLogonRight -u "домен \ пользователи домена"

Во-вторых, добавьте пользователя:

C: \ ntrights.exe + r SeInteractiveLogonRight -u "домен \ имя пользователя"

Когда я тестирую, обновляя политику компьютера с помощью команды «gpupdate / force», параметр «Разрешить локальный вход в систему» ​​возвращается к политике по умолчанию, и возвращается запись «домен \ пользователи домена».

Я хочу удалить запись «домен \ пользователи домена» и не вернуть ее к политике по умолчанию, даже если gpudpate /forceона запущена.

У меня Windows 7.

1

2 ответа на вопрос

1
Twisty Impersonator

На компьютер распространяется политика домена, которая настраивает право « Разрешить локальный вход в систему» . Необходимо запретить компьютеру получать эту политику.

Чтобы определить, какая политика изменяет этот параметр, используйте мастер результатов групповой политики в консоли управления групповой политикой. Он будет идентифицировать любой объект групповой политики, который настраивает этот параметр. Ваши варианты включают в себя:

  1. Отключить политику
  2. Измените параметры безопасности политики, чтобы предотвратить ее получение на целевом компьютере.
  3. Используйте фильтр WMI, чтобы исключить целевой ПК
  4. Переместите объект компьютера в подразделение, на которое политика не влияет
  5. Создайте другую политику, которая устанавливает желаемый параметр, и настройте его так, чтобы он имел более высокий приоритет, чем нежелательная политика.
У меня нет привилегий для чтения / записи политик. Я пытался обсудить с другой командой (системный администратор). Они не согласны с моей идеей. biiboy 6 лет назад 0
Тогда ты ничего не сможешь сделать. То, что я написал в своем ответе, является правильным решением. Twisty Impersonator 6 лет назад 0
я могу добавить в конфигурацию пользователя для 1 ПК 1 логин? biiboy 6 лет назад 0
@biiboy Я не знаю, о чем ты спрашиваешь. Twisty Impersonator 6 лет назад 0
На самом деле, я хочу установить Single Login. имя пользователя A не может войти в систему на компьютере B. Имя пользователя A может войти только на компьютере A. и т. д. Я обсуждал с другой командой, но они согласны с этим. очень нужен твой совет biiboy 6 лет назад 0
@biiboy Если команда, которая контролирует настройки безопасности домена, не согласна, вы ничего не можете с этим поделать. Как и все хорошие настройки безопасности, они не могут быть изменены теми, у кого нет доступа для этого. Похоже, вам нужно продолжать работать, чтобы убедить эту команду. Twisty Impersonator 6 лет назад 0
я могу добавить это с помощью ключа реестра? действительно нужна помощь большое спасибо biiboy 6 лет назад 0
Нет, ты не можешь. Вы должны изменить пользователя прямо через групповую политику. Для этого нет альтернативных настроек. Twisty Impersonator 6 лет назад 0
Большое спасибо, Твисти. Как насчет отказа в локальном входе? Могу ли я добавить некоторых пользователей к этому? Я буду вводить их имя пользователя по одному. Когда я проверяю gpupdate / force, запрещаю локальный вход в систему без изменений. biiboy 6 лет назад 0
@biiboy Это может сработать, хотя вам придется вводить * каждое * возможное имя пользователя, кроме того, которое вы хотите разрешить вход ... Twisty Impersonator 6 лет назад 0
0
yanqian

Групповая политика домена будет иметь приоритет над локальной политикой, ваши настройки будут отменены после применения групповой политики домена. Вам необходимо обратиться за помощью в соответствующую ИТ-службу.

У меня нет привилегий для чтения / записи политик. Я пытался обсудить с другой командой (системный администратор). Они не согласны с моей идеей. biiboy 6 лет назад 0

Похожие вопросы