網域成員電腦使用者登入限制

ad 網域

621122 2009-09-14 11:33:28 ‧ 37010 瀏覽

分享至

需求：網域中的成員電腦，特定domain user加入到本機administrators群組，但其他domain users不能登入該電腦使用

目前作法：在該成員電腦的電腦帳戶管理中，把domain users從本機users群組移除，將特定domain user加入到本機administrators群組

狀況：網域其他使用者也可以登入該電腦

已知其他作法：從網域管理中，針對個別使用者限制可以登入的電腦，但這個方法的思考方向不太一樣

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

aesop

iT邦研究生 4 級 ‧ 2009-09-14 15:40:26

最佳解答

或許可以試試本機群組原則
開始--執行--gpedit.msc
電腦設定--windows 設定--安全性設定--本機原則--使用者權限指派--本機登入

回應 2
分享
檢舉

621122 iT邦新手 5 級 ‧ 2009-09-14 16:55:30 檢舉

您提到的本機原則本機登入設定，目前裡面的內容都只有本機的群組，而本機的群組中只有administrators群組有加入一個網域使用者帳號，但為何其他網域使用者也可以登入該台電腦？

花輪 iT邦大師 1 級 ‧ 2009-09-14 17:02:55 檢舉

既然您有join domain，那本機的群組原則大概就沒用了，因為在domain的環境中，local policy是第一個被套用的，等到套domain policy時，通常就已經被蓋掉了，所以會有您提到的情形，所以，應該要去設定 domain 或 ou 的 policy！

登入發表回應

花輪

iT邦大師 1 級 ‧ 2009-09-14 17:12:22

「目前作法：在該成員電腦的電腦帳戶管理中，把移除」
上面這句話中，您原來是將加入到本機users群組中嗎？
您應看看是否另有一單獨的domain users群組有「讀取」的權限，若有，這也要拿掉。同時，沒有權限讀取並不代表它不能在本機登入，這是兩回事。

建議：在domain 或 ou 的 policy中去設定「本機登入」或「拒絕本機登入」的原則，不要在本機上設定！

至於那個「其他作法」，若CLIENT很多，那設定會花較多時間。

回應 1
分享
檢舉

621122 iT邦新手 5 級 ‧ 2009-09-14 23:12:30 檢舉

成員電腦加入網域，會自動把domain users加入本機的users群組
也就是domain users都可以登入該成員電腦
但公司環境電腦屬於個人使用，所以要調整成為只有個人可以登入
因此，到本機的users群組移除domain users群組，把個人網域帳號加入本機administrators 或 power users群組

但這樣做以後，domain users還是可以登入該成員電腦
本機其他使用者群組已無domain users的設定

登入發表回應