在域環境中我們往往預設情況下,域使用者是可以在非域控機器上進行本地登入的,這裡就涉及一個域安全問題
今天有人問我能否限制 某個使用者隻能登陸某台計算機?某台計算機隻能由某個使用者登入?
某個使用者隻能登陸某台計算機
這個可以通過AD使用者和計算機的使用者屬性來指定使用者可以登入的計算機
假設我們這讓使用者甲登陸xp-a,但是禁止登陸xp-b
打開賬号頁籤,點選登陸到,将允許登陸計算機添加進去
打開xp-a,使用者甲登陸很正常,但是打開xp-b登陸的時候會收到錯誤提示
這樣就達到了我們限制使用者所能登陸的計算機的限制了
第一條政策相對來說用的可能比較少,第二條政策相對會比較多
某台計算機隻能由某個使用者登入
這裡可以通過組政策或者本地政策結合使用者組的方法來實作
假設我們要隻允許使用者甲登陸xp-a,其他使用者禁止登陸
打開計算機OU所在的組政策,依次展開計算機配置-政策-windows設定-安全設定-本地政策-使用者權限配置設定
右側選擇允許本地登入,将管理者組和标準使用者組加入政策中,
這樣普通域使用者就無法登入次此計算機
我們嘗試使用使用者甲登入xp-a,會收到禁止登入的提示
使用管理者登入xp-a将使用者添加到power users組中
上面是比較原始的辦法,使用組政策中的首選項會更加便捷
在首選項中控制台的本地使用者群組中,添加使用者到指定的組
但是這樣會将使用者添加到所有計算機的power users組
點選常用在目标中選擇指定的計算機
再登入xp-a會發現可以正常登入,如果使用其他使用者一樣無法登入
除非将其加入到power users和administratior組中
這樣就達到了我們限制某台計算機登入可以被登入的使用者數了