GPO：允許本地登錄，僅限管理員訪問

我有一小群桌面伺服器，我不希望任何人能夠在本地登錄它們，除了管理員。

我們有一個 Windows 2003 AD 並且伺服器正在執行 Windows 7 Pro。

我知道我可以：

使用所述電腦在 AD 中創建一個 OU，並將組策略分配給該 OU。然後，在組策略編輯器中，轉到：Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Allow log on locally並刪除除Domain Administrators, Remote Users, and Administrators?之外的所有組/使用者。

最好通過組策略執行此操作，還是在每台電腦上配置此操作？

你提到的方法是最好的方法。

您可以在每台單獨的電腦上進行配置，但沒有任何好處。通過 GPO 執行此操作更具可擴展性。

引用自：https://serverfault.com/questions/360029