本文介绍如何仅将计算机的使用限制为一个域用户。
原始 KB 数: 555317
本文由 Microsoft MVP 尤瓦尔·西奈撰写。
现象
从一个域(林)到另一个域(林)创建信任连接/秒时,用户可以选择登录与其主域不同的域(托管其帐户/秒的域)。
原因
信任从一个域到另一个域或/和一个林到另一个林的连接,使用户能够登录与其主域不同的域(托管其帐户/秒的域)。 每台计算机上的“经过身份验证的用户”组允许来自受信任域的用户进行身份验证并登录到计算机。
解决方法
选项 A:域范围策略
通过使用 Windows 2000/2003 域中的组策略功能,可以阻止用户/s 登录到与其主域不同的域/秒。
创建新的域范围的 GPO,并启用源域用户帐户/sIn 目标域的“拒绝本地登录”用户权限。
注意
某些服务(如备份软件服务)可能受此策略影响,并且不起作用。 若要消除将来的问题,请应用此策略并使用 GPO 安全筛选器功能。
拒绝本地登录
使用安全组进行筛选
Gpupdate /force在域控制器上运行。
选项 B:从用户组列表中删除“NT AUTHORITY\Authenticated Users”使用
若要消除在一台或几台计算机中登录的选项,请按照说明操作:
右键单击桌面上的“我的计算机”图标。
选择“管理”。
提取“本地用户和组”。
选择“组”。
在屏幕右侧,双击“用户”组。
从列表中删除:“NT AUTHORITY\Authenticated Users”。
将所需的用户/秒或组/秒添加到“用户”本地组。
选项 C:在本地计算机上配置“拒绝本地登录”用户
若要消除在一台或几台计算机上日志记录的选项,请按照说明操作:
转到“开始”-> “运行”。
写入“Gpedit.msc”
启用源域用户帐户的“拒绝本地登录”用户权限。
注意
某些服务(如备份软件服务)可能受此策略影响,并且不起作用。
拒绝本地登录
在本地计算机上运行
Gpupdate /force。
选项 D:使用林信任时使用选择性身份验证
创建林信任
详细信息
社区解决方案内容声明
Microsoft 公司和/或其供应商不对在这里所发布的信息和图片的适用性、可靠性或准确性负责。 所有此类信息和相关图形均按“原样”提供,不作任何形式的保证。 Microsoft 和/或其相应的供应商特此声明,不对本信息和相关图形提供任何保证和条件,包括所有暗示的保证和适销性条件、特定用途的适用性、工作人员的工作、所有权和非侵权。 你明确同意,在任何情况下,Microsoft 和/或其供应商都不对任何直接、间接、惩罚性、附带、特殊、后果性损害或任何损害负责,包括但不限于因以下原因或以任何方式造成的使用、数据或利润损失的损害负责:即使微软或其任何供应商已被告知有可能受到损害,但由于使用或无法使用本文所含信息和相关图形,无论是基于合同、侵权、疏忽、严格责任还是其他原因。