0

我的帖子

个人中心

设置

  发新话题
在Windows域环境中,默认的策略是允许域用户随意登陆域内任意PC的,这就留有较大的安全隐患(设想普通员工用他的账户登陆BOSS电脑)。因此,有必要对这个默认策略进行完善。
        我个人想到的经过验证可行的很笨的办法是进入每台PC,将【Users】 组中的【Domain Users】删掉,然后将需要登陆这台机器的域用户加入到【Power Users】组或管理员组中。
         还有一个经过验证可行的办法是通过在DC上做组策略,只允许域管理员组的成员才能随意登陆域内任意计算机,但这不能满足实际需要,实际工作中不可能给所有人授予域管理员权限。

        请问下有什么高效的方式实现上述需求呢?PS:在DC上做组策略,不允许本地【Users】 组中成员登陆PC,只允许【Power Users】组或管理员组中的用户登陆该PC。



如果域用户不多的话,直接设置用户的登录到




要么就在BOSS电脑上设置允许本地登录,把users删掉,把boss的帐户加进来即可。
本帖最近评分记录
  • lzy821218 无忧币 +5 BOSS的确实这样操作! 2017-9-12 16:44



引用:
原帖由 wtomisser 于 2017-9-12 13:47 发表
在Windows域环境中,默认的策略是允许域用户随意登陆域内任意PC的,这就留有较大的安全隐患(设想普通员工用他的账户登陆BOSS电脑)。因此,有必要对这个默认策略进行完善。
        我个人想到的经过验证可行的很笨的办法是进 ...
到dsa.msc里,修改域用户的属性,有个叫“登录到”这个属性。可以用powershell批量修改。将域用户和PC做一对一的绑定!http://yuntcloud.blog.51cto.com/1173839/1601568/



我的微博:http://t.sina.com.cn/lzy821218
引用:
原帖由 wtomisser 于 2017-9-12 13:47 发表
在Windows域环境中,默认的策略是允许域用户随意登陆域内任意PC的,这就留有较大的安全隐患(设想普通员工用他的账户登陆BOSS电脑)。因此,有必要对这个默认策略进行完善。
        我个人想到的经过验证可行的很笨的办法是进 ...
微软官方!
https://gallery.technet.microsoft.com/scriptcenter/145213a1-0e5f-41fd-8fe6-119f989c792f




本帖最后由 lzy821218 于 2017-9-12 16:43 编辑
我的微博:http://t.sina.com.cn/lzy821218
引用:
原帖由 fmwt42 于 2017-9-12 16:27 发表
如果域用户不多的话,直接设置用户的登录到
347363

347364

要么就在BOSS电脑上设置允许本地登录,把users删掉,把boss的帐户加进来即可。
347365
感谢,这种方法尽管能解决需求,但有点笨,通过组策略推送能否实现呢?



引用:
原帖由 lzy821218 于 2017-9-12 16:38 发表

微软官方!
https://gallery.technet.microsoft.com/scriptcenter/145213a1-0e5f-41fd-8fe6-119f989c792f
感谢!但是这样每次新增员工和新增计算机都要重新导入哦。



引用:
原帖由 fmwt42 于 2017-9-12 16:27 发表
如果域用户不多的话,直接设置用户的登录到
347363

347364

要么就在BOSS电脑上设置允许本地登录,把users删掉,把boss的帐户加进来即可。
347365
方法不错!



引用:
原帖由 wtomisser 于 2017-9-12 16:57 发表

感谢!但是这样每次新增员工和新增计算机都要重新导入哦。
模板做好了,脚本和excel文件保留着,以后改改可以一直用。也不麻烦呀,人越多,越能感觉到好处。楼主现在建立域用户是手动还是用脚本?不管用哪种方法,只是比以往多了一个属性而已!



我的微博:http://t.sina.com.cn/lzy821218
引用:
原帖由 lzy821218 于 2017-9-13 10:22 发表

模板做好了,脚本和excel文件保留着,以后改改可以一直用。也不麻烦呀,人越多,越能感觉到好处。楼主现在建立域用户是手动还是用脚本?不管用哪种方法,只是比以往多了一个属性而已! ...
手动。从域控组策略入手有没有办法,因为我要将管理权给下面的人用



引用:
原帖由 wtomisser 于 2017-9-13 11:28 发表

手动。从域控组策略入手有没有办法,因为我要将管理权给下面的人用
1、是“登录到”用组策略、还是“允许本地登录”要用组策略?
2、直接做“委派”就可以!



我的微博:http://t.sina.com.cn/lzy821218
引用:
原帖由 lzy821218 于 2017-9-13 13:15 发表

1、是“登录到”用组策略、还是“允许本地登录”要用组策略?
2、直接做“委派”就可以!
OK,感谢!



引用:
原帖由 wtomisser 于 2017-9-18 11:51 发表

OK,感谢!
不客气!



我的微博:http://t.sina.com.cn/lzy821218
‹‹ 上一贴:windows 2008 server 文件夹权限设置的问题   |   下一贴:请教各位大神,怎么在不加入域情况下,使用远程AD管理工具 ... ››
  发新话题
快速回复主题
关于我们 | 诚聘英才 | 联系我们 | 网站大事 | 友情链接 |意见反馈 | 网站地图
Copyright©2005-2017 51CTO.COM
本论坛言论纯属发布者个人意见,不代表51CTO网站立场!如有疑义,请与管理员联系:bbs@51cto.com