Active Directory - 阻止默认用户权限登录所有域计算机

tag-icon tag-icon active-directory
Active Directory - 阻止默认用户权限登录所有域计算机

这个问题与计算机上的 DC 有关,而与 Azure AD 无关。

在 Active Directory 域中创建的用户默认可以登录到加入同一域的所有计算机。
Active Directory 默认域用户权限?

  1. 我是否需要应用 GPO [组策略] 来防止这种行为?
  2. 该过程是否如下:
    a. 创建一个 OU [默认情况下,计算机位于容器中,而不是 OU;GPO 仅适用于 OU]
    b. 将所有计算机移动到该 OU
  3. GPO 是什么样子的?截图就更好了!

感谢您的帮助。如果这一切都已在其他地方记录,我很抱歉,但我无法在其他地方找到此信息。

答案1

有两个 GPO 策略可以控制这一点:

  1. 允许本地登录
  2. 拒绝本地登录

彻底测试这一点,因为这两项政策经常会产生意想不到的后果。换句话说,不要无意中清除允许列表中的默认用户组,否则将无人能够登录。此外,不要添加users到拒绝列表中,否则将无人能够登录。请记住,“用户”并不是登录您计算机的唯一帐户。

重建不包含该组的默认允许列表users,并添加您想要允许登录的任何组/用户。

它们是计算机策略,并应用于包含受影响计算机的 OU。

答案2

最简单的方法是使用 Active Directory (AD) 中用户帐户的登录到帐户策略。

  • 在 Microsoft 管理控制台 (MMC) Active Directory 用户和计算机管理单元中打开用户的帐户属性。
  • 选择“帐户”选项卡,单击“登录到”。然后单击“登录工作站”,选择“下列计算机”,输入要限制用户的工作站名称,然后单击“添加”。

相关内容