Bien sûr. Vous pouvez le faire.
Créez le compte "générique" et donnez-lui la permission de faire tout ce dont vous avez besoin. Définissez un mot de passe pour le compte et utilisez la stratégie de groupe pour effectuer l'authentification.
Il n'existe pas de modèle de stratégie de groupe pour contrôler l'authentification. Un modèle simple serait quelque chose comme :
CLASS MACHINE
CATEGORY "System"
CATEGORY "Logon"
POLICY "Auto Logon"
KEYNAME "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"
VALUENAME "AutoAdminLogon"
VALUEON "1"
VALUEOFF "0"
PART "Username" EDITTEXT
VALUENAME "DefaultUserName"
END PART
PART "Domain" EDITTEXT
VALUENAME "DefaultDomainName"
END PART
PART "Password" EDITTEXT
VALUENAME "DefaultPassword"
END PART
END POLICY
END CATEGORY ; "Logon"
END CATEGORY ; "System"
Enregistrez le tout dans un fichier ".ADM", créez votre OU et la GPO qui lui est liée, puis éditez la GPO. Dans l'éditeur de stratégie de groupe, vous devrez faire un clic droit sur "Modèles administratifs" et "Ajouter/Supprimer des modèles" pour ajouter ce modèle. Vous trouverez ces paramètres sous "Modèles administratifs classiques".
N'oubliez pas que ce paramètre "tatouera" le registre des PC auxquels vous l'appliquez. Lorsque vous les déplacerez hors de l'OU, ils conserveront les paramètres d'autologon. Soit vous les supprimez via script, soit vous déplacez les PC vers une OU avec une GPO "evil anti-policy" liée qui a le paramètre autologon désactivé pour les détatouer.
Si vous voulez que certains paramètres de stratégie de groupe spécifiques s'appliquent au compte utilisateur générique, assurez-vous de placer cet objet utilisateur au bon endroit et de lui donner les appartenances de groupe appropriées, etc.
