AD dsmod 指令問題請教

ad dsmod 智慧卡

may2819sf 2021-05-03 10:29:00 ‧ 1003 瀏覽

小弟近日調整公司內部AD設定，
其中原先公司設定帳戶選項勾選-互動式登入必須使用智慧卡，
現在要全部調整成不需要勾選此項目，需要大量佈署的設定方法，
查閱過dsmod指令的用法後，找不到該選項的參數，
想請教大家是否有遇過一樣的問題可以提供解決方法。

看更多先前的討論...收起先前的討論...

窮嘶發發發 iT邦高手 1 級 ‧ 2021-05-03 10:52:56 檢舉

https://www.google.com/search?q=dsmod 一堆說明啊 @@
有問題先餵狗，很容易得到答案

may2819sf iT邦新手 5 級 ‧ 2021-05-03 11:24:42 檢舉

有的，爬過相關文章，
如上述問題，針對-互動式登入必須使用智慧卡，
這個項目對應的參數，目前找不到答案

CalvinKuo iT邦大師 7 級 ‧ 2021-05-03 13:54:14 檢舉

應該用GPO去設定網域安全性原則比較簡單喔，請搜尋: AD GPO 本機原則安全性選項

https://ithelp.ithome.com.tw/questions/10097782
https://docs.microsoft.com/zh-tw/windows/security/threat-protection/security-policy-settings/interactive-logon-require-smart-card

但是，你要快的話就還是是dsmod
https://ithelp.ithome.com.tw/questions/10045786

may2819sf iT邦新手 5 級 ‧ 2021-05-03 16:55:59 檢舉

我的問題會有兩個相似解答
1.設定作業系統登入介面是否會出現智慧卡登入選項-是針對電腦佈署
2.使用者帳戶是否要求必須使用智慧卡登入-是針對個人帳戶權限佈署

您提供的設定方式，是有關第1項的部分
我需要的是第2項的佈署方法，實際運用上效果不太一樣@@

CalvinKuo iT邦大師 7 級 ‧ 2021-05-04 17:33:11 檢舉

這組設定本來就是本機安全性原則，也就是限制已加入網域的電腦是否要求使用Windows Hello企業版或智慧卡。
網域使用者帳號可以用來登入網站、Exchange等服務，自然無法限制限定使用Windows Hello企業版或智慧卡。有可能用Mac/iOS或Android等裝置登入...
若有理解錯誤，望其他前輩指正。

登入發表討論