大家好,我遇到了一些简单的任务问题。我们学校的 MS Server 2012 配置非常简单。问题是我们想拒绝一个用户访问几台电脑,这样我们的学生只能用他们自己的账户访问图书馆电脑,因为我们想监控他们的行为。
我有一个用户(library_user),该用户不应该能够登录到三台特定的电脑。
我想到的一个方法是删除特定计算机的域用户组,并创建一个包含除 library_user 用户之外的所有用户的新组。但是“域用户”组中的用户太多,因此手动添加所有用户需要很长时间。
这是完成这件事的正确方法吗?谢谢
答案1
组策略部分“安全设置 → 本地策略 → 用户权限分配”允许您指定哪些用户可以登录,哪些用户不能登录。具体来说,有一个名为“拒绝本地登录”其优先级高于相应的‘允许’参数。
您应该为共享帐户创建一个组,然后将该组添加到“拒绝”列表中。这可以在本地完成(通过 secpol.msc),也可以在全局完成(通过 AD GPO)。
但是“域用户”组中的用户太多,手动添加所有用户需要很长时间。
无论如何你都应该这样做,而且实际上并不需要很长时间。即使在常规的“用户和组”管理工具 (dsa.msc) 中,也可以从搜索结果中选择数百个用户并一次性将他们添加到组中。因此,你确实应该创建一个“学生”组、一个“员工”组等。
答案2
您可以使用以下方式拒绝某个用户帐户的本地登录 ntrights 工具。此工具可从 Windows 资源工具包中获取,但您可以从 Winaero 网站(下面的链接)下载它。
- 下载ZIP 档案
- 解除对下载文件的阻止
- 解压
ntrights.exe到C:\Windows\System32 - 打开提升的命令提示符
拒绝本地登录权限:
ntrights -u USER-NAME +r SeDenyInteractiveLogonRight
为了稍后允许用户本地登录,请执行:
ntrights -u USER-NAME -r SeDenyInteractiveLogonRight