Jag vill med hjälp av grupp-policy ange att en grupp användare skall kunna logga in på ett antal arbetsstationer i vårat AD... För varje konto så kan jag ju ange att dom tillåts logga in på en eller flera arbetsstationer men detta utesluter ju inte de övriga användarna i AD't för just den arbetsstationen.

Säg att jag har två arbetsstationer (WS1 och WS2) där en grupp användare (GRP1) skall kunna logga in. Övriga användare som inte ingår i GRP1 skall inte kunna logga in på just dessa två arbetsstationer.

Någon som har en idé om hur jag skall göra detta?

Är det många datorer du skall styra? Det går att styra via lokala säkerhetsprinciper på burken, under vilka som får logga in på datorn.. Ta bort domainusers och lägg till att endast enh särskild grupp får logga in. Via remote desktop tar det inte många sekunder. Adda dom sen i gruppen via AD

Om det är flera datorer så borde du kunna styra det via GPO
Computer Configuration / Windows Settings / Security Settings / Restricted Groups
Add Group (då får du kolla på WS vilka grupper som gör att de kan logga på och vilka de tillhör, gissar Användare & Privilegade användare)

Gör inställningarna så att endast "dina specialgrupper kan logga in" lägg sen datorerna i 2 olika grupper och låt bara GPO:n slå på den ena gruppen.

Har säkert missat något har inte tillgång till server nu och kan dubbelkolla, men det borde vara ett steg på vägen och jag/du/andra kan fylla på med mera.

Ok, tack för tipset... skall kolla in det ;)

Jag har en liknande fråga...

Om man vill ge access till en enstaka dator för ett AD-konto, eller AD-grupp, men inte till någon annan...

ett exempel skulle kunna vara att man väljer att tillåta en VPN-inloggning via ett AD-konto mot en DOMÄN, men bara vill att det kontot ska ha access till en specifik klient i AD-gruppen.

Hur uppnår man det bäst?

<b>Om man vill ge access till en enstaka dator för ett AD-konto, eller AD-grupp, men inte till någon annan...</b>
Att ställa så att ett konto endast kan logga in på en specifik klient är ju ganska enkelt... (Log on to)
...fast att utesluta alla andra konton verkar vara svårare...

Kört fast Stefan?
Funkade det inte som jag skrev? Utveckla din problematik och vart du fastnar så skall jag försöka guida dig vidare.

Hej Johan!
Hade inte riktigt tid idag att prova det du tipsade om, men jag ska se om jag hinner i morgon.
Att lösa det med GPO låter smidigare i vårat fall eftersom det händer att vi tillfälligt vill tillåta andra användare på maskinerna... och då är det ju bra om man kan "slå på och slå av" begränsningarna centralt på PDC'n...

(Det rör sig i första hand om ett drygt dussin maskiner på en skola)

Njae, jag vill åstadkomma två saker egentligen:

1) Skapa ett konto som överhuvudtaget inte har någon annan rättighet på ett AD annat än att verifiera att det hör till just ADt, samt att kontot tillåts upprätta en VPN anslutning mot domänen. Dock inga som helst rättigheter mot ngra maskiner alls, förutom en specifik dator/klient.

2) Om det går, ge specifik rättighet till en enskild dator, antingen via det ovannämnda kontot, om det inte går, går det lika bra med selleri... hehe, skämt åsido.

Puck två löses ju relativt smidigt, genom att ge kontot rätt det lokalt för Logon i det lokala GPOt för klienten, men det är puck 1 jag har problem med. Hur sätter man upp ett konto som enbart har VPN rättigheter, men inga andra Domain Users rättigheter (ex.vis logon för andra klienter).

Någon som har tips, så vore jag jättetacksam.

Hobil, det verkar som om vi missförstår varandra... men jag tycker det låter hur enkelt som helst...

<b>Ge en användare tillåtelse att endast logga in på en enda klient:</b>
I AD't, välj [Aktuell användare] -> Properties -> Account -> Log On To...
Under "This user can log on to the following computers" lista den eller de klienter som du vill tillåta.
(Har du svensk version så heter det ju något annat liknande...)

Sen borde du via GPO på PDC'n kunna strypa rättigheterna för detta konto hur mycket du vill...

Tack för hjälpen Johan!
Jag lyckades tillslut få till det ungefär som jag ville med hjälp av dina förslag. =)

Kul att kunna hjälpa till, sitter själv och försöker styra upp en skolmiljö med liknande lösningar.
Så att de små scriptkidsen inte skall kunna göra mer än vad jag vill..