Active Directory Deny Log on Localy

   Active Directory ortamlarındaki en büyük zorluklardan biri, iş istasyonlarında kimlerin oturum açmasına izin verildiğini kontrol etmektir. Varsayılan olarak AD'deki her kullanıcı otomatik olarak Etki Alanı Kullanıcılarına eklenir. Kullanıcı hesabı veya bilgisayar yapılandırması üzerinde işlem yapmadığınız sürece, AD ortamınızdaki herhangi bir kullanıcı hesabının, isteseniz de istemeseniz de herhangi bir bilgisayarda oturum açabileceği anlamına gelir. 

Küçük bir AD ortamındaysanız bu sizin için sorun olmayabilir: Aşağıdaki gibi, AD Kullanıcılar ve Bilgisayarlar Hesap sekmesinden Log On To butonuna tıklayıp kullanıcıya izin verilen bilgisayarları belirtebilirsiniz.

Bu ekranda sisteminizde olmayan bir bilgisayar ekleyerek, kullanıcının oturum açmasını engelleyebilirsiniz.

Büyük bir AD ortamındaysanız Microsoftun bu konuda çözümü ise, GPO üzerinde computers → policy → windows → security → local policies → user rights assignments → deny log on locally  aşağıdaki politika açarak istediğiniz kullanıcı ve grupları ekleyebilirsiniz. 

Artık politika ayarı yapılandırıldı. Son kullanıcı tarafında, ister 90 dk  gpo döngüsünü bekleyebilir yada kullanıcıda gpupdate /force yaparak politikayı hemen uygulayabilirsiniz. 

gpupdate /force 

İşlem sonrası oturumu kapatıp açmanız yeterli olacaktır.