web-dev-qa-db-ja.com

ユーザーがドメイン内のコンピューターにログオンできるようにする

私はドメインに所属している会社で働いています。現時点では、8つの会議室があり、それらの会議室には8つのミニPCがあります。

現時点では、このPCへのログオンが許可されているのは管理者のみです。ADのアカウントでは、すべてのコンピューターに「ログオン」するオプションがあるためです。

そのため、会社の他の全員が自分のアカウントの下にLOGONTOとしてセットアップされ、次に彼らがいるPCがセットアップされます。

私が探しているのは、PC名を指定せずに全員が会議室のPCにログオンできるようにすることです。

ADにすべての会議室のOUがあります。

会社には100を超える従業員がいます。

全員が自分のコンピューターに加えて、会議室にある8台のコンピューターにログオンできるようにしたい。

私は何時間も試しましたが、グループポリシーを試しましたが、すべてが正しく行われたと思いますが、アカウントがこのコンピューターを使用するように構成されていないというエラーメッセージが表示されます。別のコンピューターを試してください。

ミニPCにはWindows 7があり、Windows Server 2008を使用して管理しています

これを行うにはどうすればよいですか?

5
Tiger

ユーザーのADアカウント設定でログオン設定を使用する代わりに、ローカルでログオンを許可グループポリシー設定(Computer/Policies/Security Settings/Local Policesのグループポリシーにあります)を利用します。 。

ローカルログオンを許可設定は、そのマシンにログオンする権限を持つワークステーション上のローカルユーザーまたはグループを指定します。ローカルでログオンする権限がデフォルトで付与されているグループ(および1人のユーザー)は次のとおりです。

Users
Administrators
Backup Operators
Guest

マシンがドメインに参加すると、ADセキュリティグループDomain Usersは自動的にワークステーションのローカルUsersグループのメンバーになります。これは、ADユーザーがすべてのドメインコンピューターにログオンするためのアクセス許可を取得する方法です。 (また、ドメイングループDomain Administratorsは自動的にローカルAdministratorsグループのメンバーになります。)

次のいずれかの方法で目的を達成できます。

  1. グループポリシーを使用して、ワークステーションのローカルUsersグループのメンバーシップをカスタマイズします
  2. グループポリシーを使用してAllow log on locallyポリシー設定を直接変更する

これらの方法のいずれかでは、ユーザーのADアカウント設定でLog On To設定の使用を放棄して、-に直接リストされているグループのメンバーシップに基づいて(またはそうではない)グループにログオンできるユーザーを制御することを優先する必要があります。 ローカルログオンを許可 GP設定、または同じ設定にリストされているグループのメンバーです。

残念ながら、PCなどのグループを指定することはできません。

ただし、PowerShellを使用してこの機能をスクリプト化することができます。しかし、2008がすでにそれをサポートしているかどうかはわかりません。

何かのようなもの:
Set-ADUser AntonioAl -LogonWorkstations 'AntonioAl-DSKTOP,AntonioAl-LPTOP'

これを次のように完全にスクリプト化できます。

  • 会議室OU内のすべてのワークステーションDNS名を読み取ります
  • すべてのユーザーを通過
  • LogonWorkstationsの現在の値を読み取ります
  • 会議室リストから欠落している値を追加する
  • LogonWorkstationsの新しい値をユーザーに書き込む
2
MichelZ

会議室のPCが同一で、同じOU内にあり、特別なものではないなどの場合、制限付きグループを使用して、「ドメインユーザー」をユーザー(またはパワーユーザー)グループに追加できます。そのグループにすでに持っている他のユーザーグループ(asp.netアカウントなどのことを考えている)を含めることを確認してください。そうしないと、使用しているグループから除外されます。

(私はこの設定を使用して悪用し、特別なユーザーをAdministratorsグループに追加していました。)

0