问:如何使域用户只能登陆自己的电脑,不能在其他人的电脑上登陆?limitlogon是否能够做到这个功能?感觉应该是一个很常用的功能,怎么就不能实现呢?
答:
只有在用户账户属性中设置“登录到”。这个也只能一个一个账户的设置。limitlogon
那是限制一个账户只能登录一次,但不限制登录到哪台电脑上。
嗯……那么通常来说,有四个方面来阐述这个问题:
其一,我想这可能是中西方一个文化背景的差异。微软在设计ad的架构的时候是用户的利益为中心的,也就是说无论任何时候要保障用户的应用不受到影响,如果将每个用户账户限制只能登录到哪台计算机,那么一但一批账户在规定的计算机上登录遇到问题的时候,用户短时间内就无法使用其他人的计算机进行工作了。
其二,通常同一个业务部门,具有相同的业务特性,该部门内的安全登录可以这样设置,让业务部门内的用户组可以在该部门内的所有计算机上登录。这样做,可以算是针对上面那种情况,在考虑安全性的前提下的一个折衷方案。
其三,在客户端本地不要保留关键性业务数据。从原则上来讲,企业是不会为用户的私人数据承担安全责任的,客户端仅是为业务运作提供的一个工具,所有的业务数据以及企业智能财产都应该得到集中保存和审核。如果管理员从it基础架构上做好了工作,那么就会发现对于同一业务部门的用户来说,没有必要限制的如此严格。当年,国外很多服务器和笔记本硬盘都很小,只分一个区,就是因为这样一个考虑。
其四,如果按照微软客户端的最佳安全实践来做,默认状态下,domain
user是没有权限查看其他账户数据的。
----- gnaw0725
您好!
根据我的研究,在组策略上是没有具体的设置可以禁止域帐号进行漫游登陆。如果您希望指定域用户只能登陆某台客户端的话,建议您执行以下操作:
1. 点击“开始->运行”并输入“DSA.MSC” ->打开“Active
Directory用户和计算机”。
2.
右键点击需要进行设置的用户->“属性”->“帐户”->“登陆到”->“下列计算机”。
3. 添加指定的计算机。
希望我的回答对您有所帮助。
Tom Zhang 张一平
在线技术支持工程师
微软全球技术支持中心