Вы могли бы попытаться использовать Restricted Groups в Групповой политике вместо этого: http://support.microsoft.com/kb/279301
Чтобы это работало, я полагаю, что необходимо будет создать OU для компьютеров каждого отдела в дополнение к группам безопасности для пользователей каждого отдела. Я создал бы OU под названием "Рабочие станции" и создал бы дочерний OUs на Рабочих станциях OU для каждого отдела. Затем я, вероятно, создал бы GPO для каждого OU для ограничения, какие группы безопасности являются членами Группы пользователей.
Это потребует отредактировать файл rc.local любым другим способом?
Если у вас нет разрешения sudo
, вы можете создать задание cron с чем-нибудь вот так:
@reboot /path/to/your/script