如何限制 AD 用戶登入指定電腦

ad限制用戶登入

is_brian 2016-10-21 09:30:33 ‧ 5325 瀏覽

分享至

想請教一下各位前輩們：

我該如何去限制AD用戶登入指定的電腦呢???

利用帳戶的『登入到』，測試結果是不行的。每個帳戶要登入的主機太多設定不完

若使用GPO去套用的話，這樣似乎無法完全達到限制的目的。
因為GPO上的套用為分各部門的GPO，如：財務、管理等……

目前若用GPO限制的話，雖然可以限制，
如：財務A員工無法登入至管理A員工電腦

但只能限制到各部門下，產生的問題為：
如：財務A員工可以用他的AD帳戶去登入財務B員工的電腦。

是否有更好的辦法，可以做到限制這台電腦就只能給誰用嗎???
不一定要透過AD GPO 若可透過第三方軟體達到，也可行。

看更多先前的討論...收起先前的討論...

窮嘶發發發 iT邦高手 1 級 ‧ 2016-10-21 10:44:16 檢舉

電腦管理 > 使用者群組 > Users 群組 > 將 Domain Users 拿掉，加入允許登入的 User
你可以試試，GPO 電腦原則，也可以做到先把 Domain User 拿掉，接著再用電腦管理一台一台設定
用遠端設定就行了，但先建議把每台電腦的 AD User 加好後再去拿掉 Domain User
這個方法的起因在於，本機電腦登入允許 Users 群組登入，而電腦加入網域後會自動把Domain User 加到這個群組
如果你不希望每個人只能用自己的電腦，那麼就手動去修改這一些設定
這個設定只要做一次，下次電腦異動或是新增電腦，只要手動加入 User帳號到本機的 Users 群組就好了

窮嘶發發發 iT邦高手 1 級 ‧ 2016-10-21 10:45:58 檢舉

修正倒數第二行 => 如果你不希望這樣，要求每個人只能用自己的電腦，那麼就手動去修改這一些設定

is_brian iT邦新手 5 級 ‧ 2016-10-21 16:41:30 檢舉

您好，感謝你的回覆不過我實在找不到你所說的電腦管理 > 使用者群組 > Users 群組 > 將 Domain Users 在哪 ????
若照您的方法假設這樣有幾台電腦就是要設定幾台對吧???

小成 iT邦高手 10 級 ‧ 2016-10-24 08:21:20 檢舉

而且用這個【登入到】功能，我之前測，發現如果手機用 Exchange ActiveSync 收信，沒把手機設進去，也會收信失敗...

窮嘶發發發 iT邦高手 1 級 ‧ 2016-10-24 09:22:48 檢舉

如果一開始的 AD 架構就設定好，那日後就不需要這麼麻煩，尤其是電腦數非常多的公司
否則這些公司為什麼需要 MCSA 或 MCSE 來管理這些規則，我已經說了，可以透過遠端去操作每一台電腦
這樣已經是很簡單的處理方式，如果你覺得這樣還不夠快，你可以用按鍵精靈操作啊
自己去寫按精的SCRIPT 讓他自己跑，就算你有幾萬台電腦，他還是會自動跑完
因為你今天的要求是每一台電腦只能有一個使用者或是限定的使用者
真的要確認達成這個目標必須操作兩個物件才能確實達成，電腦物件與使用者物件
使用者物件尼大已經講了，但那還不是絕對保證，你還要對電腦物件做我上面說的操作
兩邊都設定好了，再加上 GPO 的設定，這樣才能確保萬無一失

登入發表討論