用组策略限制域用户只能登录自己电脑,非常好.docx

用组策略限制域用户只能登录自己电脑时间：2022-12-1511:43来源：网络收集保藏复制共享：:-0）条熟识微软AD环境的人都知道，在默认状况下，使用任意一个域帐户是可以登录除DC（域控）以外的任何域成员计算机的，这就给我们的企业信息平安带了一个很大的隐患。试想一下，假如一个不怀好意的员工采用这个疏漏来登录其他员工或管理人员的电脑并窃取企业的机密文件的话，可能会给企业造成重大损失，而且这种损失对企业来说很可能是致命的,为了避开这种悲剧的发生，可以实行以下几种方法来为域用户指定允许其登录的计算机。方法一假设我们只允许域用户登录自己的电脑，而不能登录其它电脑。当然这种做好并不是太敏捷，但这种方法却是最有效的。在“开头运行”中输入dsamsc打开ADUC（活动名目用户和计算机），选择要操作的目标用户，在用户属性窗口中，切换到“帐户”选项卡，并选择“登录到”。在"LogonWorkstaions”窗口中的“用户可以登录到”区域选择“下列全部计算机”，并将该域帐户所使用的计算机名加入到计算机列表里。如下图E3挽入I环境I合活I运程控IMI终胡睁务配置文件ICOH Zxchnr*常规I电子邮件地址I Zxchuu*功他 Exch*nr* | 窜锹I地址 储尸 I配置文件I电话I里位I烹屋于：点矍录名yn<Qbl'j>用尸登录名Ufnd"s2000以前板切立LogonYorkstatiq7×iBUETOBGO登录时间¾I登录却(I) I“计H机” W称中，输入叶苴机的*tBis或域名奈茨8S) 茗林.此用户可以量录到所亶计算机(口帔尸已迫定UJ幡尸选项(Q)厂用户下次找录的筑更改密的厂用户不能更改密码 厂峦吗永不过期使用可逆的加密保存峦码侏户口期C永砌ffl S _ c在这之后)泊工Il 嗝一喉I 取消r*'*cHI性建议:考虑到目前许多的企业办公正台如，OA、Wiki等都支持IdaP认证，所以许多IT管理人员为了节约管理开销，而设置使用域帐户来登录这些平台，假如是这种情形的话，剧烈建议把DC(域控)的计算机名也添加到上图的计算机列表中，这样就可以避开无法登录其它办公正台的问题消失。当然可能有伴侣会问，这样做是否降低了平安性?其实完全可以放心,由于在域掌握器平安策略中，是拒绝一般域用户本地登录的，所以这些一般用户是无法本地登录DC(域控)的。