Active Directory を他のWebサービスのLDAP認証サーバーとしても利用しているような場合。Webサービスは使ってもらいたいが，パソコンにログオンして欲しくはないユーザーというのがあると思います。そういう人をログオンさせないようにするには，どうしたらよいでしょうか。

グループを作る

ログオンさせたくないユーザーはだれなのかを判断しなければなりませんから，まずはグループを作ります。ここでは，冒頭の例に沿ってldapusersというグループを作ります。そして，パソコンにログオンさせたくないユーザーをこのグループに所属させます。

ローカルでログオンを拒否する

グループポリシーに「ローカルでログオンを拒否する」というポリシーがあります。このポリシーにグループを設定します。

2008 Server の場合

1. グループポリシー管理エディタの左ペインで，
   コンピュータの構成 > ポリシー > Windowsの設定 > セキュリティの設定 > ユーザー権利の割当
   を選択します。
   
    
2. 右ペインの，「ローカルでログオンを拒否する」をダブルクリックします。
3. 「これらのポリシーの設定を定義する」のチェックを入れて，「ユーザーまたはグループの追加」をクリックします。
   
    
4. 表示されたダイアログに先ほど設定したグループを（ドメイン名\グループ名の形式で）設定します。「参照」ボタンでADオブジェクトの中から選択もできます。
   

2003 Server の場合

1. グループポリシーオブジェクトエディタで，コンピュータの構成 > Windowsの設定 > セキュリティの設定 > ユーザー権利の割当 を選択します。
2. （以降は2008 Serverと同じです）