其實(shí)這個(gè)問題，我在技術(shù)論壇上專門發(fā)帖請(qǐng)教過很多人，大家的解決方法很多我也沒有一一去試，因?yàn)樗麄儗懙慕鉀Q方案，跟我當(dāng)時(shí)遇到這個(gè)問題需要解決的前提是不一樣的。

這兩天閑來無事，竟偶然遇到了解決限制本地登錄的域帳戶的方法

就像可登錄域的所有帳戶都存儲(chǔ)在domain users組里面一樣，所有可登錄本地計(jì)算機(jī)的域帳戶是保存在本地計(jì)算機(jī)的users組里面的，打開users的成員一看domain users這個(gè)組果然在里面。到此，終于明白為什么所有的域帳戶都可以登錄任意計(jì)算機(jī)了。

一般而言，域內(nèi)一些比較重要的計(jì)算機(jī)是不想任何人都可以登錄的，這樣安全性就沒有了保證。比如財(cái)務(wù)部門的計(jì)算機(jī)，只希望個(gè)別財(cái)務(wù)的帳戶能登陸。所以要限制這點(diǎn)，只要把本地計(jì)算機(jī)users組里面的domain users給刪除掉，加入希望登陸的域帳戶即可起到限制的作用

11月22日，再次和別人討論過這個(gè)問題后，很是失望，原來結(jié)果是這樣的，我上面寫那個(gè)辦法只是在本機(jī)上的操作權(quán)限，也就是說domain users存在于本地的users組里面只是讓域用戶擁在本地有最低的操作權(quán)限而已

請(qǐng)問如何使域用戶只能登陸自己的電腦，不能在其他人的電腦上登陸？limitlogon是否能夠做到這個(gè)功能？感覺應(yīng)該是一個(gè)很常用的功能，怎么就不能實(shí)現(xiàn)呢？回答：只有在用戶賬戶屬性中設(shè)置“登錄到”。這個(gè)也只能一個(gè)一個(gè)賬戶的設(shè)置。limitlogon 那是限制一個(gè)賬戶只能登錄一次，但不限制登錄到哪臺(tái)電腦上。嗯……那么通常來說，有四個(gè)方面來闡述這個(gè)問題：

其一，我想這可能是中西方一個(gè)文化背景的差異。微軟在設(shè)計(jì)ad的架構(gòu)的時(shí)候是用戶的利益為中心的，也就是說無論任何時(shí)候要保障用戶的應(yīng)用不受到影響，如果將每個(gè)用戶賬戶限制只能登錄到哪臺(tái)計(jì)算機(jī)，那么一但一批賬戶在規(guī)定的計(jì)算機(jī)上登錄遇到問題的時(shí)候，用戶短時(shí)間內(nèi)就無法使用其他人的計(jì)算機(jī)進(jìn)行工作了。

其二，通常同一個(gè)業(yè)務(wù)部門，具有相同的業(yè)務(wù)特性，該部門內(nèi)的安全登錄可以這樣設(shè)置，讓業(yè)務(wù)部門內(nèi)的用戶組可以在該部門內(nèi)的所有計(jì)算機(jī)上登錄。這樣做，可以算是針對(duì)上面那種情況，在考慮安全性的前提下的一個(gè)折衷方案。

其三，在客戶端本地不要保留關(guān)鍵性業(yè)務(wù)數(shù)據(jù)。從原則上來講，企業(yè)是不會(huì)為用戶的私人數(shù)據(jù)承擔(dān)安全責(zé)任的，客戶端僅是為業(yè)務(wù)運(yùn)作提供的一個(gè)工具，所有的業(yè)務(wù)數(shù)據(jù)以及企業(yè)智能財(cái)產(chǎn)都應(yīng)該得到集中保存和審核。如果管理員從it基礎(chǔ)架構(gòu)上做好了工作，那么就會(huì)發(fā)現(xiàn)對(duì)于同一業(yè)務(wù)部門的用戶來說，沒有必要限制的如此嚴(yán)格。當(dāng)年，國(guó)外很多服務(wù)器和筆記本硬盤都很小，只分一個(gè)區(qū)，就是因?yàn)檫@樣一個(gè)考慮。

其四，如果按照微軟客戶端的最佳安全實(shí)踐來做，默認(rèn)狀態(tài)下，domain user是沒有權(quán)限查看其他賬戶數(shù)據(jù)的。----- gnaw0725 您好！

根據(jù)我的研究，在組策略上是沒有具體的設(shè)置可以禁止域帳號(hào)進(jìn)行漫游登陸。如果您希望指定域用戶只能登陸某臺(tái)客戶端的話，建議您執(zhí)行以下操作：

1. 點(diǎn)擊“開始－>運(yùn)行”并輸入“DSA.MSC” －>打開“Active Directory用戶和計(jì)算機(jī)”。

2. 右鍵點(diǎn)擊需要進(jìn)行設(shè)置的用戶－>“屬性”－>“帳戶”－>“登陸到”－>“下列計(jì)算機(jī)”。

3. 添加指定的計(jì)算機(jī)。

更多信息請(qǐng)查看IT技術(shù)專欄