[Iska]

И в чём проблема? Создаёте. Затем запрещаете. В итоге он у Вас висит мёртвым грузом.

В чём глобальная цель, и почему указана такая странная взаимоисключающая реализация?

[Elven]

Цитата Iska:

В чём глобальная цель, и почему указана такая странная взаимоисключающая реализация? »

Некоторому софту ни к черту не нужен вход в систему, достаточно логина и пароля для произведения некоторых работ и выкладывания на определенные шары всякого барахла от логов до бэкапов. Или, к примеру, через GPO создаем в шедулере задание которое должно выполняться исключительно от имени админа, зачем при этом нужно чтобы некий таинственный Mr. Кто-то мог под этим админом зайти?

Цитата Iska:

И в чём проблема? Создаёте. Затем запрещаете. В итоге он у Вас висит мёртвым грузом »

А вот с этого момента поподробнее. В линуксе это как-то попроще реализовано, дописал в свойствах пользователя "nologin" и от имени пользователя могут и службы запускаться, и скрипты выполняться, но залогиниться он уже не может, как сие сделано под виндами я несколько не догоняю. Да и зачем мертвым грузом? Нужно чтобы пользователь работать смог, но без входа в систему.

[nokogerra]

суть в том, что чтобы что-то запустить от имени пользователя, у него должно быть право логона. Пример: создал групповую политику, которая рядового доменного пользователя сделала членом группы локальных администраторов для машин в определенном OU. Все отлично, он администратор, но имеет право входа только на одну рабочую станцию (скажем свою), он не сможет установить/удалить программы, или выполнить вообще какие-либо действия на остальных машинах (введя свои логин и пароль при запросе на повышение прав), несмотря на то, что он администратор.

[cameron]

Elven,
явно такого права, как вы описали, нет.
вам нужно создать группу в AD, например "no_local_logon", через ГПО запретить этой группе локальный логон и добавить туда нужные служебные записи.

[James Marsh]

Цитата cameron:

через ГПО запретить этой группе локальный логон и добавить туда нужные служебные записи »

А те учетки смогут, к примеру, писать в сетевую шару? Для сетевых МФУ очень-но актуально.

[sea707]

В параметрах учетной записи - разрешить только вход на компьютеры, т.е. добавить только файловый сервер и всё...

[cameron]

Цитата James Marsh:

А те учетки смогут, к примеру, писать в сетевую шару? Для сетевых МФУ очень-но актуально. »

смогут.

Цитата sea707:

В параметрах учетной записи - разрешить только вход на компьютеры, т.е. добавить только файловый сервер и всё... »

этот параметр отвечает за logon locally

[Elven]

cameron, спасибо. Стало несколько понятнее куда копать и в результате все весьма нормально получилось (в GPO Параметры безопасности\Локальные политики\Назначение прав пользователя\Запретить локалный вход и Запретить вход в систему через службу удаленных рабочих столов). Не все конечно, но покуда что хватит.