我的大学正在从基于 Novell 的登录系统切换到 Active Directory。IT 广告的“功能”之一是任何用户都可以登录任何机器。这对于计算机实验室等来说很好,但对于办公室和研究生实验室的计算机,我们真的不想让任何随机的本科生走进并登录。有没有一种简单的方法来限制谁可以使用活动目录登录到特定的机器?大多数计算机都运行 XP,少数运行 Vista。
AskOverflow.Dev
我的大学正在从基于 Novell 的登录系统切换到 Active Directory。IT 广告的“功能”之一是任何用户都可以登录任何机器。这对于计算机实验室等来说很好,但对于办公室和研究生实验室的计算机,我们真的不想让任何随机的本科生走进并登录。有没有一种简单的方法来限制谁可以使用活动目录登录到特定的机器?大多数计算机都运行 XP,少数运行 Vista。
你看过这些指南吗?
http://itadmin.creative.auckland.ac.nz/FAQ/Network/ActiveDirectory/restrictAccessPolicy/
http://itadmin.creative.auckland.ac.nz/FAQ/Network/ActiveDirectory/noAccessGroupPolicy/
使用 Windows 中访问控制的工作方式,您通常需要从相反的方向考虑这类事情。与其允许所有人然后尝试锁定一部分用户,不如默认情况下不允许任何人进入,并让应该能够使用这些系统的用户子集进入。
显式“拒绝”ACL 始终优先于“允许”ACL
始终针对组而不是特定用户的各种安全设置也是最佳实践。即使今天只有一个用户需要访问,也可能并非总是如此,或者需要访问的用户也可能发生变化。
打开 ADUC 管理单元 (dsa.msc) > 查找用户 > 打开属性,您可以使用“帐户”选项卡管理设置。