Garrett Asked: 2009-08-20 10:07:26 +0800 CST2009-08-20 10:07:26 +0800 CST 2009-08-20 10:07:26 +0800 CST 阻止服务帐户在本地或远程登录 772 我们有一家公司在内部为我们进行开发,他们可以访问多个服务帐户。该公司轮换人员进出,而不是请求帐户,开发人员使用服务帐户登录服务器。 在不影响服务帐户用途的情况下,锁定使用该帐户的能力的最佳方法是什么? 我们可以安全地检查终端服务配置文件下 AD 中的“拒绝此用户登录到任何终端服务器的权限”复选框吗? 如果我们创建一个域策略来阻止该 OU 的登录,那会是更好的方法吗? windows 2 个回答 Voted Best Answer Maximus Minimus 2009-08-20T10:15:44+08:002009-08-20T10:15:44+08:00 您可以在本地组策略 (gpedit.msc) 中创建设置来实现此目的。查看计算机配置 | Windows 设置 | 安全设置 | 当地政策 | 用户权限分配。您想要的具体是拒绝作为批处理作业登录、拒绝本地登录和拒绝通过终端服务登录。 您还可以在此处调整其他一些设置,例如从网络访问此计算机,以进一步强化它。 不言而喻,但每次进行一项更改,并在每次更改后测试您的服务是否正常工作,然后再进行下一项。 James Fillmore 2017-09-09T06:48:16+08:002017-09-09T06:48:16+08:00 其实有一个更简单的方法。使用活动目录,您实际上可以指定用户能够登录的机器。如果您不希望特定用户能够登录到任何机器,只需让他们登录到您网络中不存在的机器即可。 IE:如果你的电脑是DT001、DT002、DT003,只允许用户登录DT000。
您可以在本地组策略 (gpedit.msc) 中创建设置来实现此目的。查看计算机配置 | Windows 设置 | 安全设置 | 当地政策 | 用户权限分配。您想要的具体是拒绝作为批处理作业登录、拒绝本地登录和拒绝通过终端服务登录。
您还可以在此处调整其他一些设置,例如从网络访问此计算机,以进一步强化它。
不言而喻,但每次进行一项更改,并在每次更改后测试您的服务是否正常工作,然后再进行下一项。
其实有一个更简单的方法。使用活动目录,您实际上可以指定用户能够登录的机器。如果您不希望特定用户能够登录到任何机器,只需让他们登录到您网络中不存在的机器即可。
IE:如果你的电脑是DT001、DT002、DT003,只允许用户登录DT000。