如何将计算机的使用限制为仅一个域用户
09/27/2020
本文内容
本文介绍如何将计算机的使用限制为仅一个域用户。
适用于: Windows Server 2012R2、Windows 10 - 所有版本
原始 KB 编号: 555317
本文由 Microsoft MVP Yuval Sinay编写。
症状
当您从一个域 (林) 创建信任连接时,用户可以选择登录与主域不同的域 (托管其帐户的域) 。
原因
信任从一个域到另一个域或/和一个林到另一个林的连接使用户可以登录到与主域不同的域 (托管其帐户的域) 。
每台计算机中的"已验证用户"组允许来自受信任域的用户进行身份验证并登录到计算机。
解决方案
选项 A:Domain-Wide策略
通过使用 Windows 2000/2003 域中的组策略功能,可以防止用户/s 登录到不同于其主域的域。
创建新的域范围的 GPO,并启用对源域用户帐户/sIn the target domain 的"拒绝本地登录"用户权限。
备注
某些服务 (备份软件) 可能会受此策略影响,并且不起作用。
若要消除将来的问题,请应用此策略并使用 GPO 安全筛选器筛选器筛选器。
拒绝本地登录
使用安全组进行筛选
在 Gpupdate /force 域控制器上运行。
选项 B:从用户组列表中删除"NT AUTHORITY\Authenticated Users"用法
若要消除在一台或几台计算机上进行日志记录的选项,请按照说明操作:
右键单击 桌面上的"我的 电脑"图标。
在"管理 "上 选择。
提取"本地用户和组"。
在"组 "上 选择。
在屏幕右侧,双击"用户" 组。
从列表中删除 :"NT AUTHORITY\Authenticated Users"。
将"要求用户/s"或"组/s"添加到"用户" 本地组。
选项 C:在本地计算机上配置"拒绝本地登录"用户
若要消除在一台或几台计算机上进行日志记录的选项,请按照说明操作:
转到"**开始"->"**运行"。
写入 "Gpedit.msc"
对源 域用户帐户 启用"拒绝本地登录"用户权限。
备注
某些服务 (备份软件) 可能会受此策略影响,并且不起作用。
拒绝本地登录
在本地 Gpupdate /force 计算机上运行。
选项 D:使用林信任时使用选择性身份验证
创建林信任
详细信息
社区解决方案内容免责声明
MICROSOFT CORPORATION 和/或其相应的供应商对此处包含的信息和相关图形的适用性、可靠性或准确性不做任何陈述。 所有此类信息和相关图形均按 "原样" 提供,而不提供任何种类的担保。 MICROSOFT 和/或其相应的供应商特此不提供有关此信息和相关图形的所有担保和条件,包括适销性的所有暗示的担保和条件、适用于特定用途的适用性、WORKMANLIKE 工作、标题和非侵权性。 您明确同意,在任何直接、间接、PUNITIVE、偶然、特殊的情况下,MICROSOFT 和/或其供应商不承担任何责任。根据合同、侵权性、疏忽、严格责任或其他方式(无论是根据合同、侵权性、疏忽、严格责任或其他方式,即使 MICROSOFT 或其任何供应商已被告知可能损坏的情况),不限于使用或无法使用本文档中所含信息和相关图形的任何方式(包括但不限于)丢失的或任何损坏。