我可以為所有本地帳戶和一些域帳戶“允許本地登錄”嗎？

我在幾台機器上使用了“允許本地登錄”GPO 來限制誰可以使用它們。令人討厭的是，我必須為每組機器/使用者創建/連結一個單獨的 GPO（需要時項目級目標在哪裡？），但現在我遇到了一個更困難的問題……

我需要限制可以登錄的 AD 使用者，但還需要允許我可能知道或不知道的所有本地帳戶。我們有由外部供應商創建/支持的機器，這些供應商創建本地帳戶以進行本地管理/配置和/或測試。這些本地帳戶需要能夠登錄，並且它們不一定在任何特殊的本地組中。

有沒有辦法在“允許本地登錄”和組策略首選項之間配置某種混合，我可以針對特定使用者/組在本地組中添加或刪除，而無需專門定義組中的確切成員？基本上，我想分層刪除所有 AD 帳戶的登錄，然後允許登錄到一些有限的 AD 組，同時不觸及本地帳戶的登錄能力。

這是可行的嗎？如果有我可以動態填充的系統資料庫項或其他東西，我不反對啟動腳本。

謝謝。

這比我最初想像的要簡單得多：您需要做的就是授予Local account.

Local account是一個眾所周知的安全標識符(S-1-5-113)，它類似於組，除了成員身份是基於規則的隱式：在這種情況下，所有本地帳戶都是成員。

如果您還向您創建的本地組授予“允許本地登錄”權限，則可以使用具有項目級目標的組策略來添加應具有對該組的登錄訪問權限的域使用者。

因此，我建議您將組策略設置為允許登錄訪問：

• Administrators
• Local account
• Authorized domain users

引用自：https://serverfault.com/questions/923535