用组战略限制域用户只能登录自己电脑[Windows安全]

　　熟习微软AD环境的人都知道,在默许情形下,利用肆意一个域帐户是可以登录除DC(域控)以外的任何域成员计算机的,这就给我们的企业信息安全带了一个很 大的隐患.试想一下,假如一个不怀好意的员工操纵这个疏漏来登录其他员工或管理人员的电脑并盗取企业的奥秘文件的话,大概会给企业造成庞大丧失,并且这种 丧失对企业来说极大概是致命的,为了避免这种悲剧的发生,可以采纳以下几种办法来为域用户指定答应其登录的计算机.

　　办法一

　　假定我们只答应域用户登录自己的电脑,而不能登录别的电脑.当然这种做好并非太机动,但这种办法倒是最有效的.

　　在“开始运行”中输入dsa.msc翻开ADUC(活动目录用户和计算机),挑选要操作的目标用户,在用户属性窗口中,切换到“帐户”选项卡,并挑选“登录到”.

　　在“Logon Workstaions”窗口中的“用户可以登录到”区域挑选“下列全部计算机”,并将该域帐户所利用的计算机名加入到计算机列表里.以下图

　　倡议:

　　考虑到目前很多的企业办公道台如,OA、wiki等都支持ldap认证,所以很多IT管理人员为了节俭管理开销,而设置利用域帐户来登录这些平台,假如是 这种情形的话,激烈倡议把DC(域控)的计算机名也增添到上图的计算机列表中,这样便可以避免无法登录别的办公道台的问题呈现.

　　当然大概有朋友会问,这样做能否降低了安全性?其实完好可以安心,因为在域掌握器安全战略中,是回绝普通域用户本地登录的,所以这些普通用户是无法本地登录DC(域控)的.