如何限制將電腦僅限使用一個網域使用者

適用於: Microsoft Windows Server 2003 Enterprise Edition (32-bit x86)Microsoft Windows Server 2003 Standard Edition (32-bit x86)Microsoft Windows Server 2003 Datacenter Edition (32-bit x86)

撰寫


Yuval Sinay MVP

社區解決方案內容免責聲明


MICROSOFT CORPORATION 和/或其各自的供應商不提供本文所含之資訊與相關圖形的適用性、可靠性或準確性的標記法。 所有這些資訊與相關圖形都是以「原樣」提供,不含任何類型的擔保。 MICROSOFT 與/或其各自的供應商特此沒有任何關於此資訊與相關圖形的保證及條件,包括適售性、特定用途的適用性、WORKMANLIKE 工作、標題與未侵權的所有默示擔保及條件。 您明確同意,對於任何直接、間接、PUNITIVE、偶然、特殊的情況,MICROSOFT 與/或其供應商概不承擔任何責任。衍生損失或任何損害(包括但不限於使用中的損失、資料或利潤),不論是根據合約、侵權、過失、嚴格責任或其他方式(無論是依據合約、侵權、過失、STRICT 責任或其他),即使 MICROSOFT 或其任何供應商已收到損害的可能性,也是如此。


當您建立從一個網域到另一個網域的信任連線/s 時,使用者可以選擇登入 todifferent domain/s,而不是其主域(託管有帳戶/s 的網域)。 

原因


信任連線/s 從一個網域到另一個網域或/與一個目錄林,讓使用者能夠登入登入 todifferent domain/s,而不是其主域(託管有帳戶/s 的網域)。每個電腦上的 "經過驗證的使用者] 群組可讓受信任網域的使用者 authenticateand 登入電腦。

解析


 選項 A:網域範圍原則 透過使用 Windows 2000/2003 網域中的群組原則功能,您可以防止使用者/sto 登入與其主域/s (託管有帳戶/s 的網域)不同的網域。  sr-1. 在目標網域中建立新的網域寬 GPO,並啟用 [拒絕本機登入] 使用者權利至來源網域使用者帳戶。 注意: 某些服務(例如備份軟體服務)可能會受此原則影響,且無法正常運作。         若要消除未來問題,請套用此原則並使用 GPO 安全篩選羽化。 [拒絕以本機登入] 篩選使用 [安全性群組 2]。 在網網域控制站上執行 "Gpupdate/force"。  選項 B:從 [使用者] 群組清單中移除 [NT AUTHORITY\Authenticated 使用者]users group ,以消除登入一或多台電腦的選項,請遵循指示 bellow:1。 在桌面上,以滑鼠右鍵按一下 [我的電腦] 圖示。 2. 選擇 [管理]。 3. 解壓縮「本機使用者和群組」。 4. 按一下 [群組]。 5. 在畫面右側,按兩下 [使用者] 群組。 6. 從清單中移除: "NTAUTHORITY\Authenticated Users"。 utf-7. 將 [需要使用者/s] 或 [與群組] 新增至 [使用者] 本機群組。 選項 C:在本機電腦/s 上設定「拒絕本機登入」使用者許可權  若要消除登入一或多台電腦的選項,請依照指示 bellow:1。 移至 [開始]-> 「執行」。 2. 撰寫「gpedit.msc」3。 啟用 [拒絕本機登入] 使用者權利至來源網域使用者帳戶。 注意: 某些服務(例如備份軟體服務)可能會受此原則影響,且無法正常運作。          拒絕本機登入3。 在本機電腦上執行 "Gpupdate/force"。  選項 D:使用林信任 時,使用選擇性驗證建立林信任    

其他相關資訊


 在 Windows 中以本機方式登入群組類型和範圍使用方式