如何限制用户登录到域计算机

最新推荐文章于 2024-07-09 14:40:14 发布
最新推荐文章于 2024-07-09 14:40:14 发布
阅读量9.1k 收藏 15
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/allway2/article/details/103912597
版权

 登录到属性对于内置域管理员Administrator无效。

 

默认情况下,创建新的Active Directory用户时,它们会自动添加到“ 域用户组中。反过来,默认情况下,将域用户组加入AD域后,会将其添加到域工作站上的本地用户组。这意味着任何域用户都可以登录到域网络中的任何计算机。在本文中,我们将考虑如何限制用户登录到域计算机的主要方法。

内容:

限制用户帐户仅登录到特定的AD计算机

在小型域中,可以在Active Directory中每个用户帐户的属性中将用户登录限制为域计算机。例如,您要只允许特定用户登录其计算机。去做吧:

  1. 通过运行dsa.msc命令来运行ADUC管理单元(Active Directory用户和计算机)。
  2. 使用AD搜索,找到要限制访问的用户帐户并打开其属性;
  3. 转到“ 帐户标签,然后单击“ 登录到按钮。
  4. 如您所见,允许用户登录到所有域计算机(用户可以登录到:所有计算机)。要只允许用户访问特定的计算机,请选择以下计算机选项并添加用户可以登录的计算机的名称;

注意。您必须指定完整的NetBIOSDNS计算机名称(不要使用通配符)。该值不区分大小写。

  1. 您最多可以将64台计算机添加到此列表。如果您尝试添加65 计算机,将出现如下错误信息:This property is limited to 64 values. You must remove some of the existing values before you can add new ones;
  2. 保存更改。现在,用户只能登录到指定的AD计算机。

如何在PowerShell中修改LogonWorkstations属性?

手动将用户登录限制为域计算机是非常麻烦的。您可以使用PowerShell自动执行此操作。允许用户登录的计算机列表存储在AD用户属性“ LogonWorkstations ”中。例如,我们的任务是允许特定用户仅登录到名称在文本文件computers.csv中列出的计算机。

该脚本如下所示:

Import-Module ActiveDirectory
$ADusername = ‘asmith’
$complist = Import-Csv -Path "C:\PS\computers.csv" | ForEach-Object {$_.NetBIOSName}
$comparray = $complist -join ","
Set-ADUser -Identity $ADusername -LogonWorkstations $comparray
Clear-Variable comparray

使用Get-ADUser cmdlet,可以显示允许用户登录的计算机的列表。

Get-ADUser $ADusername -Properties LogonWorkstations | Format-List Name, LogonWorkstations

或者,您可以在ADUC控制台中查看计算机列表。

要将新的计算机名称添加到列表,请使用以下命令:

$Wks = (Get-ADUser asmith-Properties LogonWorkstations).LogonWorkstations
$Wks += ",man-b2-wks2"
Set-ADUser asmith -LogonWorkstations $Wks

如何限制用户使用GPO登录到AD工作站?

在大域中,由于某些限制和缺乏灵活性,使用LogonWorkstations用户属性限制用户对计算机的访问是不可行的。通常,为了防止用户登录某些计算机,使用组策略。

您可以使用受限制的组策略(Windows设置->安全设置)来限制本地组用户中的用户列表,但是我们将考虑另一个选项。

GPO部分中的计算机策略->策略->安全设置->本地策略->用户权限分配中有两个组策略:

  • 拒绝本地登录允许将本地登录限制为特定用户或组的工作站登录;
  • 允许本地登录 –包含允许本地登录计算机的用户列表。

例如,为防止特定组的用户登录到特定Active Directory OU中的计算机,您可以创建一个单独的用户组,将其添加到“ 拒绝本地登录策略中,然后将该策略链接到包含您计算机的OU。想要限制登录。

在大型AD域中,可以结合使用这些策略。例如,您要限制用户登录其他OU中的计算机。为此,请在每个OU中创建一个安全组并将所有OU用户添加到其中。

提示。可以使用Get-ADUserAdd-ADGroupMember PowerShell cmdlet在以下脚本的帮助下将特定OU的用户自动添加到您的安全组中:

Import-module ActiveDirectory
$rootOU = “OU=Users,OU=UK,DC=corp,DC=woshub,DC=com”
$group = “corp\lon-users”
Get-ADUser -SearchBase $rootOu -Filter * | ForEach-Object {Add-ADGroupMember -Identity $group -Members $_ }

然后启用“ 允许本地登录 ”策略,将此组添加到其中(以及不同的管理员组:域管理员,工作站管理员等),并将策略分配给计算机的OU。因此,您将只允许特定的OU用户登录到计算机。

如果来自其他OU(不允许其在本地登录)的用户尝试登录计算机,则会出现一个带有以下消息的窗口:

您无法登录,因为此计算机上不允许使用您使用的登录方法。请与您的网络管理员联系以获取更多信息。

要么:

不允许使用您尝试使用的登录方法。有关更多信息,请与您的网络管理员联系。

以下是有关登录限制策略的一些重要说明:

  • 不要使用这些策略来限制对服务器或AD域控制器的访问;

如何允许非管理员RDP访问域控制器

  • 不要通过内置GPO启用这些策略:默认域策略或默认域控制器策略;默认域策略或默认域控制器策略。
  • 限制性政策具有更高的优先级;
  • 不要忘记可以用于在计算机(服务器)上运行服务的服务帐户(包括gMSA);
  • 不要使用限制本地访问整个域的策略。仅将它们链接到特定的OU

 

allway2
关注
  • 5
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
域内,如何限制一台电脑只能指定的域用户登录
weixin_30239339的博客
05-19 6405
1.先把Guest用户停掉,这个不用说了吧,很简单.2.右键点击我的电脑-管理-本地用户和组-组-进users-把域用户删除,也就是"域名\domain users"删除,同时检查其它的组,如果有不需要的用户都删除.3.右键点击我的电脑-管理-本地用户和组-组-进administrators-添加需要登录的域用户. 转载于:https://www.cnblogs.com/hshy/p/108887...
限制域用户登陆到指定计算机,将计算机使用限制为仅一个域用户 - Windows Server | Microsoft Docs...
weixin_32434033的博客
06-15 800
如何将计算机使用限制为仅一个域用户09/27/2020本文内容本文介绍如何将计算机使用限制为仅一个域用户。适用于: Windows Server 2012R2、Windows 10 - 所有版本原始 KB 编号: 555317本文由 Microsoft MVP Yuval Sinay编写。症状当您从一个域 (林) 创建信任连接时,用户可以选择登录与主域不同的域 (托管其帐户的域) 。原因...
如何禁止其他用户域用户登录计算机
理想很丰满,现实很骨感!
10-31 5759
http://blog.sina.com.cn/s/blog_6285a01d0100rm1j.html gpedit.msc 白名单法: “本地计算机”策略 -> 计算机配置 -> Windows 设置 -> 安全设置 -> 本地策略 -> 用户权利指派 -> 在本地登录 去掉里面所有的用户,只填加你的用户帐号(注:帐号可以是域用户帐号) 这样,这台电脑就只有填加的这个用户能登录
windows server安全设置,多次登录密码错误锁定
最新发布
07-09 517
windows多次访问错误后,锁定密码
限制域用户登陆到指定计算机,限制域账号在指定的计算机上登陆
weixin_27282525的博客
06-15 2002
根据业务需求我们有时需要在某台计算机上禁用指定的用户登陆,可以用组策略完成,这里仍以测试环境为例:1.先在计算机OU中建立一个OU命名为禁止登陆电脑,可以根据自己的OU结构建立,把所有需要禁止用户登陆的计算机都放入这个OU中在AD上新建策略reject_logoin2.新建策略reject_logoin3.编辑策略:悬着拒绝本地登陆。其实这条组策略的应用非常熟悉,但以前的惯性思维都是将此策略用在A...
AD域禁止域用户使用本地账户登录
qq_23435961的博客
02-21 4874
3、禁止域用户使用本地账户登录设置完成,在域用户计算机使用本地账户登录会提示不允许使用你正在尝试登录方式。将需要禁止本地账户登录计算机加入到已创建好的组织单位(鼠标拖拽计算机到已创建好的组织单位)1、禁止使用用户使用本地账户登录禁止的是设置计算机权限,而不是账号权限。找到computers,computers下面都是已经加入到域计算机
限定域用户登录指定计算机
在线笔记
10-08 3540
AD域用户管理,用户的“属性”,“账户”标签,“登录到”按钮,选中“下列计算机”,添加要登录计算机名 管理员在2009年8月13日编辑了该文章文章。 --> --> window._bd_share_c
如何设置域用户仅登录到指定的计算机
ytakcc的专栏
04-28 1963
如何设置域用户仅登录到指定的计算机默认情况下,在AD中新建立帐号以后,这个帐号可以登录到任何一台计算机上,有些不安全,如何限制该帐号仅仅登录到指定的计算机呢?这里主要是在域帐号的属性中设置。打开该帐号的属性,帐户页面,登录到,如下图所示:然后在登录工作站选择“下列计算机”;将要登录到的计算机名字填写,然后确定,即可。3.测试,当使用该帐号没有登录到指定的计算机的时候,系统会提示错误,如下图所示:...
AD域-限制windows域用户多点并发登录.docx
09-30
本文将为您详细介绍如何限制Windows域用户多点并发登录,通过使用GPMC创建GPO和脚本来实现用户登录限制。 标题解释 AD域-限制windows域用户多点并发登录是指在Active Directory域中限制用户多点并发登录,以防止...
AD技巧之指定用户登录和指定计算机登陆.doc
09-30
AD 技巧之指定用户登录和...通过 AD 用户和计算机的用户属性,我们可以指定用户可以登录计算机,并限制某台计算机登录可以被登录的用户数。这样,我们可以更好地控制用户可以登录计算机,从而提高域环境的安全性。
域内计算机和用户获取实现vbs代码
09-05
本文将详细介绍如何使用VBScript(Visual Basic Scripting Edition)来获取域内的计算机和用户信息。 VBScript是Microsoft开发的一种轻量级、解释型的脚本语言,常用于自动化任务和系统管理。在Windows环境下,它...
域用户指定计算机,如何通过命令查询域用户所登录计算机
weixin_36278287的博客
06-15 1268
Hi,也许你可以尝试下这个脚本。脚本中含有三个参数分别是-computer –all –ou。-computer参数中是获取特定电脑的登陆用户,-ou是搜索此OU运行中所有计算机的所有登录用户,最后一个参数-all提供包含前两个所有的信息。function Get-UserLogon {[CmdletBinding()]param([Parameter ()][String]$Computer,[...
限制域用户各自登录自己的计算机
weixin_34056162的博客
09-11 288
1、首先创建一个GPO,在本地策略——用户权限分配——允许从本地登录,删除Users。 默认Domain Users属于本地Users组,故删除之。因为默认允许administrators、Power Users、Backup Operators、Users具备本地登录权限。 2、然后创建一个脚本,放入该GPO的计算机登录脚本中。脚本内容如下: OnErrorR...
怎么设置加域电脑只能某些用户登录_笔记本电脑常见故障开机密码恢复
weixin_39723519的博客
11-24 478
笔记本电脑常见故障--开机无法进入系统笔记本电脑常见故障--蓝屏笔记本电脑常见故障--键盘失效笔记本电脑常见故障--电池检测笔记本电脑常见故障--屏幕闪屏笔记本电脑常见故障--声音问题笔记本电脑常见故障--新电脑分区笔记本电脑常见故障--更换内存笔记本电脑常见故障--光驱换硬盘笔记本电脑常见故障--BIOS设置U盘启动笔记本电脑常见故障--win10黑屏笔记本电脑常见故障--驱动管理笔记...
如何限制登录本机的域帐户
weixin_33708432的博客
10-23 221
其实这个问题,我在技术论坛上专门发帖教过很多人,大家的解决方法很多我也没有一一去试,因为他们写的解决方案,跟我当时遇到这个问题需要解决的前提是不一样的。 这两天闲来无事,竟偶然遇到了解决限制本地登录的域帐户的方法 就像可登录域的所有帐户都存储在domain users组里面一样,所有可登录本地计算机的域帐户是保存在本地计算机的users组里面的,打开users的成员一看...
在域环境下,某台电脑只能让特定的域帐户登入
brian0031的专栏
12-16 2381
在“开始—执行”中输入gpedit.msc,然后打开“‘本地’计算机策略—计算机配置—Windows设置—安全设置—本地策略—用户权利指派—在本地登录”,在打开的窗口中1.保留administrator帐户,其它现存的帐号删除;2. .新增希望进入此电脑的域帐户(如,本人电脑,使用brian);如此达到希望效果。
设置计算机允许指定用户登录
运维日记
11-21 9125
问题描述:某同事近期发现计算机经常被其他用户通过其他域账号登录,丢失许多重要文件,要求设置该计算机只能通过他个人的域账号以及管理员账号登录。 解决方案: 可以通过设置本地组策略的方式来实现限制允许登录计算机的用户: 1、运行“gpedit.msc”,在 计算机配置——WINDOWS设置——安全设置——本地策略——用户权限分配——允许本地登录; 2、删除Guest和Users,然后添加允许登录的...
windowsserver设置域用户登录域的时段
08-05
### 回答1: 可以通过组策略来设置域用户登录域的时段。具体步骤如下: 1. 打开组策略编辑器,输入gpedit.msc命令并回车。 2. 在组策略编辑器中,依次展开“计算机配置”、“Windows设置”、“安全设置”、“本地策略”、“安全选项”。 3. 找到“网络访问:本地帐户的时间限制”这个策略,双击打开。 4. 在弹出的窗口中,选择“已启用”选项,然后设置允许登录的时间段。 5. 点击“确定”保存设置,关闭组策略编辑器。 这样就可以限制用户登录域的时段了。 ### 回答2: 在Windows Server中,可以通过设置域用户登录域的时段来限制用户的登录时间。以下是设置步骤: 1. 打开“活动目录用户和计算机”控制台。可以通过在运行菜单中输入“dsa.msc”来打开。 2. 在控制台中,找到并选择要设置时段的域用户。 3. 右键点击所选用户,选择“属性”选项。 4. 在用户属性窗口中,切换到“帐户”选项卡。 5. 在“登录到”部分,选择“对所有计算机登录”或者“对选定计算机登录”,具体取决于您想要应用时段限制的范围。 6. 点击“登录时间”按钮,进入登录时间窗口。 7. 在登录时间窗口中,您可以指定用户可以登录的时段。例如,您可以选择每天上午8点至下午6点允许登录。 8. 在指定所需的登录时间后,点击“确定”按钮以保存设置。 通过以上步骤,您就可以成功设置域用户登录域的时段限制注意,这些设置将在整个域内生效,对该用户在任何计算机上的登录都会被限制。此外,您还可以使用其他策略或第三方工具来更精细地控制用户登录时段的限制。 ### 回答3: Windows Server 可以通过设置“域登录限制时段”来控制域用户登录域的时间段。在设置上,可以为不同的用户指定不同的登录时段,限制他们在特定时间范围内登录域。 首先,打开 Windows Server 的“Active Directory 用户和计算机”管理工具。 找到域中的特定用户,右键点击该用户并选择“属性”。 在用户属性窗口中,切换到“账户”选项卡。 在“登录限制”部分,选择“仅在下面指定的时段允许登录”。 点击“登录时间”按钮,在弹出的窗口中设置允许登录的时间段。可以通过选择星期几和具体的时间来限制。 如果要设置多个时间段,可以点击“添加”按钮,然后重复上述步骤。 设置完毕后,点击“确定”按钮保存更改。 这样用户就只能在指定的时间段内登录域,超出时间范围将无法登录。 需要注意的是,以上设置仅适用于登录域的用户,而不包括已经登录的用户。如果用户已经登录,在限制的时段内仍然可以继续使用域资源。 此外,对于一些管理员和特权用户,可以通过设置“允许登录的工作站”来进一步限制他们的登录地点。这样可以确保用户只能在特定的工作站登录域,增加安全性。 总之,Windows Server 提供了灵活的设置选项,使管理员能够方便地限制域用户的登录时段,以满足安全和管理需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值