组策略受限域用户只能登录到自己的计算机上
熟悉微软广告环境的人都知道,默认情况下,使用任何域帐户都是一个域成员计算机,除了dc(域控制)外,它可以注销。这带来了巨大的隐患,对我们的业务信息安全。试想,如果一个员工签署不怀好意的其他员工或管理人员和计算机不窃取企业机密文件,可能对企业造成重大损失,给企业的损失可能是致命的,为了避免悲剧的发生,可采取如下方法指定为域用户可以登录到计算机。 U3000 U3000方法1
假设我们只允许域用户登录到自己的电脑,而不是登录到其他计算机上。当然,这是不太灵活,但这种方法是最有效的。 U3000 U3000
在启动运行进入dsa.msc打开aduc(Active Directory用户和计算机),选择目标用户的操作,切换到用户属性窗口,选择帐户选项卡,,登录到。
在LON workstaions在窗口用户可以登录地区选择以下所有电脑添加使用域帐户的计算机列表中的计算机名称,如下图
U3000 U3000
建议:
考虑到许多企业办公平台如OA、Wiki、支持LDAP认证,所以很多IT管理者为了节省管理成本,并建立使用域帐户登录到平台,如果是这样的话,我们强烈建议,DC(域控制器)的计算机名称添加到上面的列表中的计算机,这样就可以避免的问题无法登录办公平台。 U3000 U3000
当然,有些朋友可能会问,这会降低安全性吗事实上,它可以完全放心,因为在域控制器的安全策略中,它是一个拒绝普通域用户的本地用户,所以这些普通用户无法在DC本地登录(域控制)。