如何仅将计算机的使用限制为一个域用户

本文介绍如何仅将计算机的使用限制为一个域用户。

原始产品版本:   Windows Server 2012 R2,Windows 10-所有版本
原始 KB 数:   555317

本文由 Yuval SinayMicrosoft MVP 撰写。

症状

当您创建信任连接/s 从一个域 (林) 到另一个域时,用户可以选择使用不同的域/s 登录 (承载其帐户/s) 的域。

原因

将连接/s 从一个域信任到另一个域或/和一个林,使用户能够登录到不同域/s,而不是其主域 (承载其帐户/) 的域。 每台计算机上的 "经过身份验证的用户" 组允许受信任域中的用户进行身份验证并登录到计算机。

解决方案

选项 A: Domain-Wide 策略

通过使用 Windows 2000/2003 域中的组策略功能,可以防止用户/秒登录到与其主域不同的域/s。

  1. 创建一个新的域范围 GPO,并启用对源域用户帐户的 "拒绝本地登录" 用户权限(对目标域的 sIn)。

    备注

    某些服务 (如 Backup software services) 可能会受此策略影响,并且不起作用。 若要消除将来出现的问题,请应用此策略并使用 GPO 安全筛选器羽化。

    拒绝本地登录

    使用安全组进行筛选

  2. Gpupdate /force 域控制器上运行。

选项 B:从用户组列表中删除 "NT Authority\authenticated users Users" 使用

若要消除在一台或少数计算机中进行日志记录的选项,请按照说明 bellow 操作:

  1. 右键单击桌面上的 "我的电脑" 图标。

  2. 选择 "管理"。

  3. 提取 "本地用户和组"。

  4. 选择 ""。

  5. 在屏幕右侧,双击 "Users" 组。

  6. 删除:列表中的 "NT authority\authenticated users Users"。

  7. 将 "需要用户/s" 或 "and group/s" 添加到 "用户" 本地组。

选项 C:在本地计算机上配置 "拒绝本地登录" 用户权限

若要消除在一台或少数台计算机上进行日志记录的选项,请按照说明 bellow 操作:

  1. 转到 "开始"-> "运行"。

  2. 编写 "gpedit.msc"

  3. 启用对源域用户帐户的 "拒绝本地登录" 用户权限。

    备注

    某些服务 (如 Backup software services) 可能会受此策略影响,并且不起作用。

    拒绝本地登录

  4. Gpupdate /force在本地计算机上运行。

选项 D:使用林信任时选择性身份验证

创建林信任

更多信息

社区解决方案内容免责声明

MICROSOFT CORPORATION 和/或其相应的供应商对此处包含的信息和相关图形的适用性、可靠性或准确性不做任何陈述。 所有此类信息和相关图形均按 "原样" 提供,而不提供任何种类的担保。 MICROSOFT 和/或其相应的供应商特此不提供有关此信息和相关图形的所有担保和条件,包括适销性的所有暗示的担保和条件、适用于特定用途的适用性、WORKMANLIKE 工作、标题和非侵权性。 您明确同意,在任何直接、间接、PUNITIVE、偶然、特殊的情况下,MICROSOFT 和/或其供应商不承担任何责任。根据合同、侵权性、疏忽、严格责任或其他方式(无论是根据合同、侵权性、疏忽、严格责任或其他方式,即使 MICROSOFT 或其任何供应商已被告知可能损坏的情况),不限于使用或无法使用本文档中所含信息和相关图形的任何方式(包括但不限于)丢失的或任何损坏。