关于DC(域控制器)机上如何禁用加入域的成员机的本地账号呢?这样做的意图主要是加入域的客户机登录时是有两个选择的,一个是本机,一个是域,这样的话,就不能保证用户使用的时候一定登录域,加域的意义也就不存在了。

    咨询过大神,也找过度娘,最后得出以下结论:最好不要禁用域。建议用此种方法,加域前将客户机除Administrator账号以外的账号全部删除,并且给该账号设置密码,当然所有成员机统一,方便管理。然后将客户机加域,再为每台客户机分配一个域账号,这样用户就只能登录域。

    这样做主要是考虑如果单DC(域控制器)的话,又遇到DC挂掉,或者客户机失去了与域的信任关系,则客户机连本机也进入不了(如果有条件弄双DC的话可能不用考虑,不过如果遇到两台DC都出问题就比较麻烦了,加上并不是很多企业都有条件弄双DC,还有这样做也是留下一条后路)。

   至于想做到禁用登录本地的方法也做下整理:

    (1)可以创建一个在DC上创建一个OU(组织单位),然后将需要拒绝本地登录的计算机账户加入该OU,然后为该OU创建并链接一个GPO,编辑GPO的“计算机配置”-Windows设置-安全设置-本地策略-用户权利分配下的拒绝本地登入 添加Users组  

   (2)如何屏蔽登陆对话框中的那个登陆到域的选项,如此作就可以了:
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /V NoDomainUI /T REG_DWORD /D 1 /F
这个reg 在windows xp and windows 2k3下是可以直接执行的,大家完全可以将它做成计算机启动脚本来批量部署

以上两种方法只做为学习用,还是建议用开头方法来更好一些!