iT邦幫忙

0

網域成員電腦使用者登入限制

621122 2009-09-14 11:33:2829046 瀏覽

需求:網域中的成員電腦,特定domain user加入到本機administrators群組,但其他domain users不能登入該電腦使用

目前作法:在該成員電腦的電腦帳戶管理中,把domain users從本機users群組移除,將特定domain user加入到本機administrators群組

狀況:網域其他使用者也可以登入該電腦

已知其他作法:從網域管理中,針對個別使用者限制可以登入的電腦,但這個方法的思考方向不太一樣

2 個回答

22
aesop
iT邦研究生 4 級 ‧ 2009-09-14 15:40:26
最佳解答

或許可以試試本機群組原則
開始--執行--gpedit.msc
電腦設定--windows 設定--安全性設定--本機原則--使用者權限指派--本機登入

621122 iT邦新手 5 級 ‧ 2009-09-14 16:55:30 檢舉

您提到的本機原則本機登入設定,目前裡面的內容都只有本機的群組,而本機的群組中只有administrators群組有加入一個網域使用者帳號,但為何其他網域使用者也可以登入該台電腦?

花輪 iT邦大師 1 級 ‧ 2009-09-14 17:02:55 檢舉

既然您有join domain,那本機的群組原則大概就沒用了,因為在domain的環境中,local policy是第一個被套用的,等到套domain policy時,通常就已經被蓋掉了,所以會有您提到的情形,所以,應該要去設定 domain 或 ou 的 policy!

12
花輪
iT邦大師 1 級 ‧ 2009-09-14 17:12:22

「目前作法:在該成員電腦的電腦帳戶管理中,把移除」
上面這句話中,您原來是將加入到本機users群組中嗎?
您應看看是否另有一單獨的domain users群組有「讀取」的權限,若有,這也要拿掉。同時,沒有權限讀取並不代表它不能在本機登入,這是兩回事。

建議:在domain 或 ou 的 policy中去設定「本機登入」或「拒絕本機登入」的原則,不要在本機上設定!

至於那個「其他作法」,若CLIENT很多,那設定會花較多時間。

621122 iT邦新手 5 級 ‧ 2009-09-14 23:12:30 檢舉

成員電腦加入網域,會自動把domain users加入本機的users群組
也就是domain users都可以登入該成員電腦
但公司環境電腦屬於個人使用,所以要調整成為只有個人可以登入
因此,到本機的users群組移除domain users群組,把個人網域帳號加入本機administrators 或 power users群組

但這樣做以後,domain users還是可以登入該成員電腦
本機其他使用者群組已無domain users的設定

我要發表回答

立即登入回答