我需要在两个 Active Directory 域之间建立双向信任。但管理层担心用户在 Windows 登录屏幕的下拉列表中看到另一个域名时会感到困惑(他们中的许多人使用 Windows XP),并且由于选择了错误的域而导致登录失败的帮助台呼叫数量会急剧增加。此外,这两个域名非常相似,可能会增加用户的困惑。
有没有办法从 Windows 登录屏幕的下拉列表中隐藏受信任的域?
答案1
正确的方式:
是的,(某种程度上)有,但在我告诉你我所知道的方法之前,让我建议一下解决此问题的更安全的方法是使用组策略强制用户使用默认域- 因此默认情况下,他们会登录您指定的域,而不必担心域下拉列表。
“禁用域列表”方式:
无论如何,要删除下拉列表,这将强制用户使用完整的 UPN(用户主体名称):
- 导航
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - 创建一个新
DWORD的NoDomainUI - 将其值设置
DWORD为1 - 重新启动机器。
机器启动时,登录屏幕将不再显示域的下拉列表,用户需要输入完整的 UPN 才能登录。
显然,由于这只是一个注册表更改,您可以通过 GPO 或 GPP 将其推送到所有机器,而不必手动执行。
使用已记录的错误来隐藏除一个域之外的所有域:
编辑:为了回应@Massimo 的评论并提出更明确的要求,我发现这个 Technet 帖子,这表明此 KB 中的错误作为解决方法。
基本上,由于该Netlogon.ftl文件没有被进程打开的适当权限winlogon,因此无法显示受信任域的列表,从而只能显示机器/用户所属的域。
根据快速测试,这似乎在 2003 FL 森林中的 XP 客户端上有效(全部在我的笔记本电脑的实验室环境中虚拟化)。我目前无法进行更广泛的测试,但真的很好奇是否有人可以并报告它是否适用于较新的操作系统或不同的环境。
利用这样的漏洞是我做过的最不安全的事情,我非常好奇想听听它在其他环境中的运行情况。