我的大学正在从基于 Novell 的登录系统切换到 Active Directory。IT 宣传的“功能”之一是任何用户都可以登录任何机器。这对于计算机实验室等来说没问题,但对于办公室和研究生实验室的计算机,我们真的不想让任何随机的本科生走进来登录。有没有一种简单的方法可以限制谁可以使用 Active Directory 登录特定机器?大多数计算机运行的是 XP,少数计算机运行的是 Vista。
答案1
答案2
由于 Windows 中的访问控制工作方式,您通常需要从相反的方向考虑这类事情。您不会先允许所有人,然后试图锁定一部分用户,而是默认不允许任何人,并让应该能够使用这些系统的部分用户进入。
显式“拒绝”ACL 始终优先于“允许”ACL
最佳做法是始终针对群组而不是特定用户设置各种安全设置。即使今天只有一个用户需要访问权限,情况也可能并非总是如此,或者需要访问权限的用户也可能发生变化。
答案3
- 在域中创建组策略。
- 转到计算机配置-> Windows 设置-> 安全设置-> 本地策略-> 用户权限分配
- 编辑“允许本地登录”以包含您希望能够登录的组/用户。
- 关闭 GP,并将其应用于包含您想要保护的计算机的 OU。
答案4
打开 ADUC 管理单元 (dsa.msc) > 查找用户 > 打开属性,您可以使用帐户选项卡管理设置。