其實這個問題,我在技術(shù)論壇上專門發(fā)帖請教過很多人,大家的解決方法很多我也沒有一一去試,因為他們寫的解決方案,跟我當(dāng)時遇到這個問題需要解決的前提是不一樣的。
這兩天閑來無事,竟偶然遇到了解決限制本地登錄的域帳戶的方法
就像可登錄域的所有帳戶都存儲在domain users組里面一樣,所有可登錄本地計算機的域帳戶是保存在本地計算機的users組里面的,打開users的成員一看domain users這個組果然在里面。到此,終于明白為什么所有的域帳戶都可以登錄任意計算機了。
一般而言,域內(nèi)一些比較重要的計算機是不想任何人都可以登錄的,這樣安全性就沒有了保證。比如財務(wù)部門的計算機,只希望個別財務(wù)的帳戶能登陸。所以要限制這點,只要把本地計算機users組里面的domain users給刪除掉,加入希望登陸的域帳戶即可起到限制的作用
11月22日,再次和別人討論過這個問題后,很是失望,原來結(jié)果是這樣的,我上面寫那個辦法只是在本機上的操作權(quán)限,也就是說domain users存在于本地的users組里面只是讓域用戶擁在本地有最低的操作權(quán)限而已
請問如何使域用戶只能登陸自己的電腦,不能在其他人的電腦上登陸?limitlogon是否能夠做到這個功能?感覺應(yīng)該是一個很常用的功能,怎么就不能實現(xiàn)呢?回答:只有在用戶賬戶屬性中設(shè)置“登錄到”。這個也只能一個一個賬戶的設(shè)置。limitlogon 那是限制一個賬戶只能登錄一次,但不限制登錄到哪臺電腦上。嗯……那么通常來說,有四個方面來闡述這個問題:
其一,我想這可能是中西方一個文化背景的差異。微軟在設(shè)計ad的架構(gòu)的時候是用戶的利益為中心的,也就是說無論任何時候要保障用戶的應(yīng)用不受到影響,如果將每個用戶賬戶限制只能登錄到哪臺計算機,那么一但一批賬戶在規(guī)定的計算機上登錄遇到問題的時候,用戶短時間內(nèi)就無法使用其他人的計算機進(jìn)行工作了。
其二,通常同一個業(yè)務(wù)部門,具有相同的業(yè)務(wù)特性,該部門內(nèi)的安全登錄可以這樣設(shè)置,讓業(yè)務(wù)部門內(nèi)的用戶組可以在該部門內(nèi)的所有計算機上登錄。這樣做,可以算是針對上面那種情況,在考慮安全性的前提下的一個折衷方案。
其三,在客戶端本地不要保留關(guān)鍵性業(yè)務(wù)數(shù)據(jù)。從原則上來講,企業(yè)是不會為用戶的私人數(shù)據(jù)承擔(dān)安全責(zé)任的,客戶端僅是為業(yè)務(wù)運作提供的一個工具,所有的業(yè)務(wù)數(shù)據(jù)以及企業(yè)智能財產(chǎn)都應(yīng)該得到集中保存和審核。如果管理員從it基礎(chǔ)架構(gòu)上做好了工作,那么就會發(fā)現(xiàn)對于同一業(yè)務(wù)部門的用戶來說,沒有必要限制的如此嚴(yán)格。當(dāng)年,國外很多服務(wù)器和筆記本硬盤都很小,只分一個區(qū),就是因為這樣一個考慮。
其四,如果按照微軟客戶端的最佳安全實踐來做,默認(rèn)狀態(tài)下,domain user是沒有權(quán)限查看其他賬戶數(shù)據(jù)的。----- gnaw0725 您好!
根據(jù)我的研究,在組策略上是沒有具體的設(shè)置可以禁止域帳號進(jìn)行漫游登陸。如果您希望指定域用戶只能登陸某臺客戶端的話,建議您執(zhí)行以下操作:
1. 點擊“開始->運行”并輸入“DSA.MSC” ->打開“Active Directory用戶和計算機”。
2. 右鍵點擊需要進(jìn)行設(shè)置的用戶->“屬性”->“帳戶”->“登陸到”->“下列計算機”。
3. 添加指定的計算機。
更多信息請查看IT技術(shù)專欄