Все серверы должны конфигурироваться так, чтобы только администраторы имели физический доступ к консоли для входа в систему. По умолчанию это ограничение используется в контроллерах доменов AD DS, но на других серверах (файловые, вспомогательных) такие типы входа в систему не запрещены.

Если на вспомогательном сервере не настроить запрет на локальный вход, то обычные пользователи смогут войти в систему, а это недопустимо. Чтобы ограничить вход в систему, выполните перечисленные ниже шаги.

В окне Диспетчера серверов нажмите на СредстваЛокальные политики безопасности. Далее, в панели узлов найдите узел: Параметры безопасности \ Локальные политики \ Назначение прав пользователя \ Локальный вход в систему.

scr1  scr2

Отобразите свойство политики Локальный вход в систему. Из списка видно, что вход могут осуществить учётные записи из группы Администраторы, Пользователи и Операторы архива. Удаляем все группы кроме Администраторы или добавляем свою созданную группу и пользователя. На усмотрения админа, так сказать.

scr3 1  scr3 2

После этих действий, на сервер смогут выполнить локальный вход (Прошу не путать с терминальным входом) учётные записи добавленные в группу Администраторы.

Право доступа на Локальный вход в систему (Allow Log On Locally) можно установить для всего домена или организационной единицы с помощью групповой политики домена, однако, этот механизм позволяет выдавать права пользователям или группам, но не отбирать их. Для запрета локального входа пользователям или группам предназначено право доступа Запретить локальный вход (Deny Log On Locally) в этом же разделе узла.

scr4  scr5

Политика Запретить локальный вход может понадобиться в, случае если в ваш отдел наняли сотрудника и для него необходимо запретить локальный доступ к серверу. Если включить учётную запись администратора в политику Запретить локальный вход, то эта запись войти в систему заданного сервера не сможет, даже притом, что он входит в группу Администраторы т. к. привилегия запрета намного выше привилегий разрешения.