如何限制用户登录到域计算机

登录到属性对于内置域管理员Administrator无效。

默认情况下，创建新的Active Directory用户时，它们会自动添加到“ 域用户”组中。反过来，默认情况下，将域用户组加入AD域后，会将其添加到域工作站上的本地用户组。这意味着任何域用户都可以登录到域网络中的任何计算机。在本文中，我们将考虑如何限制用户登录到域计算机的主要方法。

内容：

限制用户帐户仅登录到特定的AD计算机
如何在PowerShell中修改LogonWorkstations属性？
如何限制用户使用GPO登录到AD工作站？

限制用户帐户仅登录到特定的AD计算机

在小型域中，可以在Active Directory中每个用户帐户的属性中将用户登录限制为域计算机。例如，您要只允许特定用户登录其计算机。去做吧：

通过运行dsa.msc命令来运行ADUC管理单元（Active Directory用户和计算机）。
使用AD搜索，找到要限制访问的用户帐户并打开其属性；
转到“ 帐户”标签，然后单击“ 登录到”按钮。
如您所见，允许用户登录到所有域计算机（用户可以登录到：所有计算机）。要只允许用户访问特定的计算机，请选择“以下计算机”选项并添加用户可以登录的计算机的名称；

注意。您必须指定完整的NetBIOS或DNS计算机名称（不要使用通配符）。该值不区分大小写。

您最多可以将64台计算机添加到此列表。如果您尝试添加65 个计算机，将出现如下错误信息：This property is limited to 64 values. You must remove some of the existing values before you can add new ones;
保存更改。现在，用户只能登录到指定的AD计算机。

如何在PowerShell中修改LogonWorkstations属性？

手动将用户登录限制为域计算机是非常麻烦的。您可以使用PowerShell自动执行此操作。允许用户登录的计算机列表存储在AD用户属性“ LogonWorkstations ”中。例如，我们的任务是允许特定用户仅登录到名称在文本文件computers.csv中列出的计算机。

该脚本如下所示：

Import-Module ActiveDirectory
$ADusername = ‘asmith’
$complist = Import-Csv -Path "C:\PS\computers.csv" | ForEach-Object {$_.NetBIOSName}
$comparray = $complist -join ","
Set-ADUser -Identity $ADusername -LogonWorkstations $comparray
Clear-Variable comparray

使用Get-ADUser cmdlet，可以显示允许用户登录的计算机的列表。

Get-ADUser $ADusername -Properties LogonWorkstations | Format-List Name, LogonWorkstations

或者，您可以在ADUC控制台中查看计算机列表。

要将新的计算机名称添加到列表，请使用以下命令：

$Wks = (Get-ADUser asmith-Properties LogonWorkstations).LogonWorkstations
$Wks += ",man-b2-wks2"
Set-ADUser asmith -LogonWorkstations $Wks

如何限制用户使用GPO登录到AD工作站？

在大域中，由于某些限制和缺乏灵活性，使用LogonWorkstations用户属性限制用户对计算机的访问是不可行的。通常，为了防止用户登录某些计算机，使用组策略。

您可以使用“受限制的组”策略（Windows设置->安全设置）来限制本地组“用户”中的用户列表，但是我们将考虑另一个选项。

GPO部分中的计算机策略->策略->安全设置->本地策略->用户权限分配中有两个组策略：

拒绝本地登录–允许将本地登录限制为特定用户或组的工作站登录；
允许本地登录 –包含允许本地登录计算机的用户列表。

例如，为防止特定组的用户登录到特定Active Directory OU中的计算机，您可以创建一个单独的用户组，将其添加到“ 拒绝本地登录”策略中，然后将该策略链接到包含您计算机的OU。想要限制登录。

在大型AD域中，可以结合使用这些策略。例如，您要限制用户登录其他OU中的计算机。为此，请在每个OU中创建一个安全组并将所有OU用户添加到其中。

提示。可以使用Get-ADUser和Add-ADGroupMember PowerShell cmdlet在以下脚本的帮助下将特定OU的用户自动添加到您的安全组中：

Import-module ActiveDirectory
$rootOU = “OU=Users,OU=UK,DC=corp,DC=woshub,DC=com”
$group = “corp\lon-users”
Get-ADUser -SearchBase $rootOu -Filter * | ForEach-Object {Add-ADGroupMember -Identity $group -Members $_ }

然后启用“ 允许本地登录 ”策略，将此组添加到其中（以及不同的管理员组：域管理员，工作站管理员等），并将策略分配给计算机的OU。因此，您将只允许特定的OU用户登录到计算机。

如果来自其他OU（不允许其在本地登录）的用户尝试登录计算机，则会出现一个带有以下消息的窗口：

您无法登录，因为此计算机上不允许使用您使用的登录方法。请与您的网络管理员联系以获取更多信息。

要么：

不允许使用您尝试使用的登录方法。有关更多信息，请与您的网络管理员联系。

以下是有关登录限制策略的一些重要说明：

不要使用这些策略来限制对服务器或AD域控制器的访问；

如何允许非管理员RDP访问域控制器。

不要通过内置GPO启用这些策略：默认域策略或默认域控制器策略；默认域策略或默认域控制器策略。
限制性政策具有更高的优先级；
不要忘记可以用于在计算机（服务器）上运行服务的服务帐户（包括gMSA）；
不要使用限制本地访问整个域的策略。仅将它们链接到特定的OU。

如何限制用户登录到域计算机相关推荐

ad用户和计算机的使用方法,AD技巧之指定用户登录和指定计算机登陆
在域环境中我们往往默认情况下,域用户是可以在非域控机器上进行本地登录的,这里就涉及一个域安全问题今天有人问我能否限制某个用户只能登陆某台计算机?某台计算机只能由某个用户登录? 某个用户只能登陆某台 ...
计算机公共教学平台用户登录,天空教室计算机共课学习管理平台教师操作手册.doc...
天空教室计算机共课学习管理平台教师操作手册天空教室2012计算机公共课学习管理平台教师操作手册文档编号 DOCUMENT NUMBER:2012-6-2 文件类型 TYPE OF DOCUMENT ...
计算机日志查询域用户登录记录,域用户权限|查看日志
域用户权限|查看日志.如果委派特定用户查看DC的系统日志? 回答:根据您的描述,我对这个问题的理解是:您想指定特定的用户允许查看DC上的事件日志. 根据我的研究,要允许特定用户访问域控制器上的事件日志 ...
计算机登录其他用户,限制用户登录到其他计算机
问:如何使域用户只能登陆自己的电脑,不能在其他人的电脑上登陆?limitlogon是否能够做到这个功能?感觉应该是一个很常用的功能,怎么就不能实现呢? 答: 只有在用户账户属性中设置"登录到 ...
远程桌面域计算机,在AD中实现仅普通域用户可通过远程桌面控制自身计算机
一用户可以使用远程桌面连接计算机的要求 1.1使用户可以使用远程桌面的四个要求要想让域用户可以通过远程桌面的功能远程连接计算机,必须满足几个条件: 1.客户端计算机必须开启"允许远程桌面& ...
用户系列之四：用户登录过程之配置文件的使用详解
通过前面的学习,我介绍了几篇有关用户登录问题的文章.今天我们再继续深入一下,首先问大家一个问题,不管是本地用户登录还是域用户登录,当它们登录成功后,新生成的桌面.开始菜单.我的文档等来自何处?我们能否 ...
如何查看域控计算机是哪个用户登陆,查看域控制器上登录用户
如何查看当前域控登录验证的用户?域内多台域控制器,如何查看某台域控制器上当前登录的用户或计算机?系统自动的工具好像没有实现此需求的办法,有无像脚本或者其他的思路来满足此需求呢?是指验证过的用户或计算机 ...
服务器直接ip登录显示令牌错误,事件ID 18456：用户域\计算机名登录失败。原因: 基于令牌的服务器访问验证失败，出现基础结构异常...
事件ID 18456:用户登录失败. 原因: 基于令牌的服务器访问验证失败,出现基础结构错误事件类型:审核失败事件来源:MSSQLSERVER 事件种类:登录事件 ID:18456 日期:201 ...
在AD环境中限定用户登录到指定的计算机
作用: 在微软AD环境中,默认情况下,使用任意一个域帐户是可以登录除DC(域控)以外的任何域成员计算机的,这就给企业信息安全带了一个很大的隐患.试想一下,如果一个不怀好意的员工利用这个疏漏来登录其他员 ...

如何限制用户登录到域计算机

如何限制用户登录到域计算机相关推荐

最新文章

热门文章