其实这个问题,我在技术论坛上专门发帖请教过很多人,大家的解决方法很多我也没有一一去试,因为他们写的解决方案,跟我当时遇到这个问题需要解决的前提是不一样的。
这两天闲来无事,竟偶然遇到了解决限制本地登录的域帐户的方法
就像可登录域的所有帐户都存储在domain users组里面一样,所有可登录本地计算机的域帐户是保存在本地计算机的users组里面的,打开users的成员一看domain users这个组果然在里面。到此,终于明白为什么所有的域帐户都可以登录任意计算机了。
一般而言,域内一些比较重要的计算机是不想任何人都可以登录的,这样安全性就没有了保证。比如财务部门的计算机,只希望个别财务的帐户能登陆。所以要限制这点,只要把本地计算机users组里面的domain users给删除掉,加入希望登陆的域帐户即可起到限制的作用
11月22日,再次和别人讨论过这个问题后,很是失望,原来结果是这样的,我上面写那个办法只是在本机上的操作权限,也就是说domain users存在于本地的users组里面只是让域用户拥在本地有最低的操作权限而已
请问如何使域用户只能登陆自己的电脑,不能在其他人的电脑上登陆?limitlogon是否能够做到这个功能?感觉应该是一个很常用的功能,怎么就不能实现呢?回答:只有在用户账户属性中设置“登录到”。这个也只能一个一个账户的设置。limitlogon 那是限制一个账户只能登录一次,但不限制登录到哪台电脑上。嗯……那么通常来说,有四个方面来阐述这个问题:
其一,我想这可能是中西方一个文化背景的差异。微软在设计ad的架构的时候是用户的利益为中心的,也就是说无论任何时候要保障用户的应用不受到影响,如果将每个用户账户限制只能登录到哪台计算机,那么一但一批账户在规定的计算机上登录遇到问题的时候,用户短时间内就无法使用其他人的计算机进行工作了。
其二,通常同一个业务部门,具有相同的业务特性,该部门内的安全登录可以这样设置,让业务部门内的用户组可以在该部门内的所有计算机上登录。这样做,可以算是针对上面那种情况,在考虑安全性的前提下的一个折衷方案。
其三,在客户端本地不要保留关键性业务数据。从原则上来讲,企业是不会为用户的私人数据承担安全责任的,客户端仅是为业务运作提供的一个工具,所有的业务数据以及企业智能财产都应该得到集中保存和审核。如果管理员从it基础架构上做好了工作,那么就会发现对于同一业务部门的用户来说,没有必要限制的如此严格。当年,国外很多服务器和笔记本硬盘都很小,只分一个区,就是因为这样一个考虑。
其四,如果按照微软客户端的最佳安全实践来做,默认状态下,domain user是没有权限查看其他账户数据的。----- gnaw0725 您好!
根据我的研究,在组策略上是没有具体的设置可以禁止域帐号进行漫游登陆。如果您希望指定域用户只能登陆某台客户端的话,建议您执行以下操作:
1. 点击“开始->运行”并输入“DSA.MSC” ->打开“Active Directory用户和计算机”。
2. 右键点击需要进行设置的用户->“属性”->“帐户”->“登陆到”->“下列计算机”。
3. 添加指定的计算机。
更多信息请查看IT技术专栏