Active directory : Allow log on localy

Je veux que seulement un groupe de mes utilisateurs de mon domaine active directory aient le droit de se connecter à un groupe de machine.

1 / Dans l’OU où se trouve les machines, je crée un groupe et j’associe toutes les machines à ce groupe : gp_toto_computers.

2 / Dans l’OU où se trouve mes users, je crée un groupe et j’associe tous les users concerné à ce groupe : gp_toto_users.

3 / Je crée une nouvelle GPO : gpo_toto_useronly. Je rattache cette GPO à mon OU de computer. Je spécifie comme filtre uniquement le groupe d’ordinateur : gp_toto_computers.

4 / J’édite la GPO. Computer Configuration > Windows Settings > Security settings > Local policies > user right assignment. Dans Allow logon localy, je rajoute mon groupe d’utilisateurs gp_toto_users et les administrateurs.

5 / Je force la GPO : gpupdate /force. Si cela ne suffit pas je redémarre la machine.

Et a présent, en faisant un gpresult on peut voir le résultat sur un ordinateurs du groupe ciblé.