iT邦幫忙

0

如何限制 AD 用戶 登入 指定電腦

想請教一下各位前輩們:

我該如何去限制AD用戶登入指定的電腦呢???

利用帳戶的『登入到』,測試結果是不行的。每個帳戶要登入的主機太多設定不完
http://ithelp.ithome.com.tw/upload/images/20161021/20101365KyFgBJJvko.png

若使用GPO去套用的話,這樣似乎無法完全達到限制的目的。
因為GPO上的套用為分各部門的GPO,如:財務、管理等……
http://ithelp.ithome.com.tw/upload/images/20161021/20101365sp4wGPFJRS.png

目前若用GPO限制的話,雖然可以限制,
如:財務A員工 無法登入 至 管理A員工 電腦

但只能限制到各部門下,產生的問題為:
如:財務A員工 可以用他的AD帳戶去登入 財務B員工的電腦。

是否有更好的辦法,可以做到限制這台電腦就只能給誰用嗎???
不一定要透過AD GPO 若可透過第三方軟體達到,也可行。

看更多先前的討論...收起先前的討論...
電腦管理 > 使用者群組 > Users 群組 > 將 Domain Users 拿掉,加入允許登入的 User
你可以試試,GPO 電腦原則,也可以做到先把 Domain User 拿掉,接著再用 電腦管理一台一台設定
用遠端設定就行了,但先建議把每台電腦的 AD User 加好後再去拿掉 Domain User
這個方法的起因在於,本機電腦登入允許 Users 群組登入,而電腦加入網域後會自動把Domain User 加到這個群組
如果你不希望每個人只能用自己的電腦,那麼就手動去修改這一些設定
這個設定只要做一次,下次電腦異動或是新增電腦,只要手動加入 User帳號到 本機的 Users 群組就好了
修正倒數第二行 => 如果你不希望這樣,要求每個人只能用自己的電腦,那麼就手動去修改這一些設定
is_brian iT邦新手 5 級 ‧ 2016-10-21 16:41:30 檢舉
您好,感謝你的回覆不過我實在找不到你所說的電腦管理 > 使用者群組 > Users 群組 > 將 Domain Users 在哪 ????
若照您的方法假設這樣有幾台電腦就是要設定幾台對吧???
小成 iT邦高手 10 級 ‧ 2016-10-24 08:21:20 檢舉
而且用這個【登入到】功能,我之前測,發現如果手機用 Exchange ActiveSync 收信,沒把手機設進去,也會收信失敗...
如果一開始的 AD 架構就設定好,那日後就不需要這麼麻煩,尤其是電腦數非常多的公司
否則這些公司為什麼需要 MCSA 或 MCSE 來管理這些規則,我已經說了,可以透過遠端去操作每一台電腦
這樣已經是很簡單的處理方式,如果你覺得這樣還不夠快,你可以用 按鍵精靈操作啊
自己去寫 按精 的SCRIPT 讓他自己跑,就算你有幾萬台電腦,他還是會自動跑完
因為你今天的要求 是 每一台電腦只能有一個使用者或是限定的使用者
真的要確認達成這個目標必須操作兩個物件才能確實達成,電腦物件與使用者物件
使用者物件 尼大已經講了,但那還不是絕對保證,你還要對電腦物件做我上面說的操作
兩邊都設定好了,再加上 GPO 的設定,這樣才能確保萬無一失
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
1
尼克
iT邦大師 1 級 ‧ 2016-10-21 09:51:10
is_brian iT邦新手 5 級 ‧ 2016-10-21 16:43:09 檢舉

感謝您提供的指令,不過您提供的指令跟我發文問的第一個說明 『登入到』,是同樣的方式,這是不可行的。

0
humming
iT邦研究生 1 級 ‧ 2016-10-24 08:30:52
  1. 針對第一位前輩的回答你所提的問題,可以在我的電腦按滑鼠右鍵->管理就找的到
  2. 針對第二位前輩回答你的回應,可以用EXCEL編輯這個檔案,把你要改的使用者名與指定可以登入的電腦,一次建立好,再執行就可以,應該是最快的方法。
is_brian iT邦新手 5 級 ‧ 2016-10-24 09:01:56 檢舉

是否有其他第三方軟體可以做到此管控的???

因為我們除了個人電腦之外 還有非常多個自己內部開發的站台要登入

humming iT邦研究生 1 級 ‧ 2016-10-25 12:05:45 檢舉

是有電腦控管的軟體,不過有沒有這麼細就要問廠商了,
像神網、SMART IT之類的電腦管理軟體

1
as900
iT邦研究生 5 級 ‧ 2016-10-24 10:44:31

我做了一下测试,你前面做的 登录到那个设置可以满足你的需求,你设置后不能生效,我估计是由于缓存登录引起的;
因为用户登录后,会在系统里面缓存用户信息,以便让你在没有网络的情况下也可以登录到域;

你可以这样测试,A、B 两台 Client,可以使用 C 用登录到 A,然后设置,仅允许 C 登录到 A,设置好后,再使用 C 登录到 B 看能否登录;

这是我测试登录的结果

http://ithelp.ithome.com.tw/upload/images/20161024/20099494QWQ7hgidAK.png

as900 iT邦研究生 5 級 ‧ 2016-10-24 10:45:32 檢舉

如果还有问题,你可以查看一下系统日志,看是否有什么相关的 log

我要發表回答

立即登入回答