Domänenbenutzer lokale Anmeldung verweigern

[Bkolbe 10]

Wir haben hier folgende Situation:

 

Wir haben Nutzer die auf unserem Exchange ein Emailkonto haben und dadurch auch ein Domänenkonto. Dieser Personenkreis darf sich aber nicht an einem Rechner innerhalb der Domäne anmelden.

Da wir über die Einführung von Sharepoint nachdenken, würde sich die Anwendung dieser Richtlinie auch darauf erweitern. Wir werden dann Nutzer haben, die sich dann nur auf diesen Webseiten anmelden dürfen, aber nciht lokal an Domänencomputer.

 

Wir setzen eine 2k3 Domäne in der höchsten Funktionsebene ein.

 

Da kommen wir nun zu meinem Problem:

Sobald ein Benutzer in eine OU verschoben wird (z.B. "No-Login") soll diese Einstellung greifen. Dadurch soll das ganze delegiert und automatisiert werden.

 

Umgesetzt werden könnte das ganze ungefähr so:

 

Über eine GPO wird einer Gruppe die Einstellunge "lokal anmelden verweigern" gesetzt und die entsprechenden Benutzer werden Mitglied dieser Gruppe. Damit kann er sich nicht mehr lokal anmelden. Diese Gruppenmitgliedschaft müsste automatisch angepasst werden, sobald der Benutzer in die OU verschoben oder aus dieser entfernt wird

 

Oder ich müsste dem User per GPO zuweisen, dass er sich nicht anmelden darf, aber das ist ja eine Computereinstellung, die nicht auf Benutzer anwendbar ist...

 

Mir kommen nur diese beiden Möglichkeiten in den Sinn; bei der Lösung mit den Gruppen stoße ich an meine Skriptinggrenzen (Auch ob das überhaupt möglich ist weiß ich nicht mal wirklich), bei der anderen ist mir keine Einstellung in den GPO's bekannt, die das umsetzen könnte.

 

Ich hoffe ihr habt da ein paar Vorschläge oder Lösungen parat.

[Bkolbe 10]

Keiner eine Idee oder Vorschläge?

 

Wie verweigert Ihr denn das Anmelden an lokalen Maschinen? Über die Gruppenzuweisung?