GPO：ローカルでのログオンを許可し、管理者アクセスのみ

デスクトップサーバーの小さなグループがあり、管理者以外の誰もがローカルでそれらにログオンできないようにしたいと思います。

Windows 2003 ADがあり、サーバーはWindows 7Proを実行しています。

私は私ができることを知っています：

上記のコンピューターを使用してADにOUを作成し、そのOUにグループポリシーを割り当てます。次に、グループポリシーエディターで、Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Allow log on locallyに移動し、Domain Administrators, Remote Users, and Administratorsを除くすべてのグループ/ユーザーを削除しますか？

これをグループポリシーで行うか、各マシンで構成する方がよいでしょうか。