none
Powershell запретить локальный вход на пк доменным пользователям. RRS feed

  • Общие обсуждения

  • День добрый.

    Есть несколько уч. зап. User1, User2, User3, User4, User5. и пк Pc01, PC02, PC03, PC04.

    Задача, сделать так, что бы User1 мог входить только на PC01, а на PC01 кроме пользователя User1 не кто не мог заходить, кроме админов домена.

    Powershell ом как добавить пользователю "вход на" определенный пк

    Вот сюда:

    Я разобрался.

    А вот как Powershellом Удалять "пользователи домена" и добавить пользователя User1 в локальную групповую политику, по пути -  

    Кофигугация пк\кофиг Windows\параметры безопасности\локальные палитики\назначения прав пользователя\локлаьный вход в систему

    не как понять не могу

    Подскажите плз


    28 августа 2019 г. 11:22

Все ответы

  • Приветствую.

    Посмотрите Group Policy Cmdlets in Windows PowerShell 

    Использование Powershell для редактирования/изменения объекта групповой политики   

    Погружение в шаблоны и приручение GPO Windows


    Я не волшебник, я только учусь. MCTS, CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте нажать на кнопку "Отметить как ответ" или проголосовать за "полезное сообщение". Disclaimer: Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть, без каких-либо на то гарантий. Блог IT Инженера, Яндекс Дзен, YouTube, GitHub.

    28 августа 2019 г. 12:32
    Модератор
  • День добрый.

    Есть несколько уч. зап. User1, User2, User3, User4, User5. и пк Pc01, PC02, PC03, PC04.

    Задача, сделать так, что бы User1 мог входить только на PC01, а на PC01 кроме пользователя User1 не кто не мог заходить, кроме админов домена.

    Powershell ом как добавить пользователю "вход на" определенный пк

    Вот сюда:

    Я разобрался.

    А вот как Powershellом Удалять "пользователи домена" и добавить пользователя User1 в локальную групповую политику, не как понять не могу.

    Кофигугация пк\кофиг Windows\параметры безопасности\локальные палитики\назначения прав пользователя\локлаьный вход в систему

    Подскажите плз

    вангую что локальная политика меняет ключ реестра который без проблем может быть изменен через пош.

    как найти ключ реестра? создайте тользователя test-user-abc-123 добавьте через гуй в нужное место, рестартаните пк, после чего загуглите по реестру упомянутого пользюка

    если не поможет, то проделайте тоже самое с его сидом


    The opinion expressed by me is not an official position of Microsoft

    28 августа 2019 г. 13:15
    Модератор
  • Приветствую.

    Посмотрите Group Policy Cmdlets in Windows PowerShell 

    Использование Powershell для редактирования/изменения объекта групповой политики   

    Погружение в шаблоны и приручение GPO Windows


    Я не волшебник, я только учусь. MCTS, CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте нажать на кнопку "Отметить как ответ" или проголосовать за "полезное сообщение". Disclaimer: Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть, без каких-либо на то гарантий. Блог IT Инженера, Яндекс Дзен, YouTube, GitHub.

    ни чего из выше перечисленного не подходит, для данной задачи( увы...
    28 августа 2019 г. 13:51
  • как вообще в прицепе на  удаленной машине  редактировать  этот пункт - Кофигугация пк\кофиг Windows\параметры безопасности\локальные палитики\назначения прав пользователя\локлаьный вход в систему

    делаешь через mmc с добавлением указанного пк в локальные групповые политики, тебе 90% пунктов не показывает(((

    получается редактировать ее можно, только когда сам залогинен на пк.

     
    28 августа 2019 г. 13:58
  • я там спитч писал что и где поискать

    The opinion expressed by me is not an official position of Microsoft

    28 августа 2019 г. 14:02
    Модератор

  • А вот как Powershellом Удалять "пользователи домена" и добавить пользователя User1 в локальную групповую политику, не как понять не могу.

    про PoSh не скажу, а в GPO это делается тут:

    28 августа 2019 г. 14:28
  • День добрый.

    Есть несколько уч. зап. User1, User2, User3, User4, User5. и пк Pc01, PC02, PC03, PC04.

    Задача, сделать так, что бы User1 мог входить только на PC01, а на PC01 кроме пользователя User1 не кто не мог заходить, кроме админов домена.

    Powershell ом как добавить пользователю "вход на" определенный пк

    Вот сюда:

    Я разобрался.

    А вот как Powershellом Удалять "пользователи домена" и добавить пользователя User1 в локальную групповую политику, не как понять не могу.

    Кофигугация пк\кофиг Windows\параметры безопасности\локальные палитики\назначения прав пользователя\локлаьный вход в систему

    Подскажите плз

    вангую что локальная политика меняет ключ реестра который без проблем может быть изменен через пош.

    как найти ключ реестра? создайте тользователя test-user-abc-123 добавьте через гуй в нужное место, рестартаните пк, после чего загуглите по реестру упомянутого пользюка

    если не поможет, то проделайте тоже самое с его сидом


    The opinion expressed by me is not an official position of Microsoft

    Сегодня с утра проделал этот фокус ни пользователя в реестре ни sid не нашел....
    29 августа 2019 г. 7:18

  • А вот как Powershellом Удалять "пользователи домена" и добавить пользователя User1 в локальную групповую политику, не как понять не могу.

    про PoSh не скажу, а в GPO это делается тут:

    имелось ввиду попасть в этот путь:

    Кофигугация пк\кофиг Windows\параметры безопасности\локальные палитики\назначения прав пользователя\локлаьный вход в систему

    29 августа 2019 г. 7:20
  • День добрый. Есть DC  на win 2016.

    Есть около 40 пк Comp01, Comp02, ... Comp40. Эти пк  находятся в отдельном OU "Deny COMP" 

    Есть столько же пользователей User01, User02, ... User40.

    Задача, создать групповую политику, которая  позволяла бы входить на пк Comp01, Comp02, ... Comp40 соответствующим пользователям User01, User02, ... User40 и админам, тоесть на Comp01 должны входить только пользователь User01 и админы, остальным всем запретить.

    Как это реализовать  созданием минимальных сущностный,  1 групповой политикой и допускаю создать 40 групп.

    Подскажите пожалуйста? 



    29 августа 2019 г. 11:20
  • Вообще в свойствах объекта пользователя есть Logon Workstation (список ВМ куда он может заходить, априори All Computers). Скриптом можно прописать для конкретных юзверей конкретные разрешенные рабочие станции. GPO здесь не нужен.
    29 августа 2019 г. 12:06
  • Вообще в свойствах объекта пользователя есть Logon Workstation (список ВМ куда он может заходить, априори All Computers). Скриптом можно прописать для конкретных юзверей конкретные разрешенные рабочие станции. GPO здесь не нужен.

    НЕ понял, каким скриптом прописать для конктретных пользователей? 

    все остальные пользователи домена могут спокойно заходить под собой на этих пк.

    В Свой-ствах  пользователя User01  в Logon Workstation   и так прописано, что он может заходить только на пк  Comp01. Это ограничения для пользователя.

    А мне нужно запретить входить всем пользователям на пк Comp01 кроме User01 и админов.


    • Изменено Dedman2k3 30 августа 2019 г. 12:28
    30 августа 2019 г. 12:27
  • Приветствую.

    Предупреждение:

    Уважаемый Dedman2k3.

    Зачем вы множите ваши темы?   

    Темы объединены


    Я не волшебник, я только учусь. MCTS, CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте нажать на кнопку "Отметить как ответ" или проголосовать за "полезное сообщение". Disclaimer: Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть, без каких-либо на то гарантий. Блог IT Инженера, Яндекс Дзен, YouTube, GitHub.


    30 августа 2019 г. 12:35
    Модератор

  • Как это реализовать  созданием минимальных сущностный,  1 групповой политикой и допускаю создать 40 групп.

    одной GPO я думаю никак. А вот 40 политик - рекомендацию я давал выше:
    - удаляете Domain Users из локальной группы Users
    - добавляете пользователя Domain\User1 в локальную группу Users

    30 августа 2019 г. 13:11
  • 40 политик это конечно мощно. А если использовать связку PowerShell + WinRM + CSV, то можно написать и выполнить скрипт на всех машинах.
    30 августа 2019 г. 13:19
  • 40 политик - первое что пришло в голову для быстрого ответа, а так да - всё возможно.
    30 августа 2019 г. 16:04
  • Можно применить MIM, но целесообразно ли это...

    Почитать Identity Management — основы управления учетными записями


    Я не волшебник, только учусь. MCTS, CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте нажать на кнопку "Отметить как ответ" или проголосовать за "полезное сообщение". Disclaimer: Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть, без каких-либо на то гарантий. Блог IT Инженера, Яндекс Дзен, YouTube, GitHub.


    30 августа 2019 г. 16:17
    Модератор
  • Приветствую.

    Предупреждение:

    Уважаемый Dedman2k3.

    Зачем вы множите ваши темы?   

    Темы объединены


    Я не волшебник, я только учусь. MCTS, CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте нажать на кнопку "Отметить как ответ" или проголосовать за "полезное сообщение". Disclaimer: Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть, без каких-либо на то гарантий. Блог IT Инженера, Яндекс Дзен, YouTube, GitHub.


    Где я множу свои темы я не понял? тема то разная....
    30 августа 2019 г. 17:18

  • Где я множу свои темы я не понял? тема то разная....
    поставленная задача - одна.
    30 августа 2019 г. 17:37