我所说的PowerUser 组是指着XP本地的PowerUser组.默认情况下.这个组里没有什么成员.但我把域帐号加入到了本地的PowerUser组.
XP加入域后.可以登录到域,也可以登录到本地.我把本地帐号除了管理员以外,都删除了.用户只能通过域帐户登录到机器使用机器上的应用程序资源.我在AD里设置了域帐号的可以使用的时间.(比如说八点到十点可用,其它时间不可用)不同域帐号也只能在我限制的时间内登录到机器上使用.这样在非指定时间.相应域帐户是不能登录到机器上的.
但我发现有些域帐户登录后,创建一个本地登录的用户,而且也加入到PowerUser组成里.这样在限制某域帐号登录系统的时间内,就可以利用本地登录方式登录到本机来使用应该程序.
而我的目的就是限制这种用本地帐户登录的方式.
不知道我说明白没有.谢谢指教.
这个问题困扰了我很久.以前在一次MS的官方技术活动时.我曾咨询过一位MS的工程师,他也说系统默认各组的权限是指定的.是不可以编辑的.他当时提供了一个编辑注册表ACL权限的方式来限制这种本地登录.但我测试以后没有成功.
我想或者如果可以限制机器在使用本地登录时只能是管理员权限也行.这样一来,即使创建了本地的PowerUser,但没有权限登录也就没关系了.