如何运用限制AD用户登陆
发布时间:2022-01-20 06:34:53 所属栏目:Windows 来源:互联网
导读:大家都知道,Windows活动目录中,默认情况下,域用户可以在任意域计算机上登陆。哪么如何阻止这种现象发生呢? 常见的方法有在ADUC中设置用户属性中的登陆到,指定他能够登陆到的计算机。还有就是在客户端组策略的安全设置|本地策略|用户权限指派|在本地登陆
|
大家都知道,Windows活动目录中,默认情况下,域用户可以在任意域计算机上登陆。哪么如何阻止这种现象发生呢? 常见的方法有在ADUC中设置用户属性中的登陆到,指定他能够登陆到的计算机。还有就是在客户端组策略的安全设置|本地策略|用户权限指派|“在本地登陆”设置允许在该计算机上登陆的用户和组。还有就是并发登陆,这里我们不讨论这个。微软有一个limitlogon工具,没怎么用过。至少我下下来我不知道从哪里下手。似乎这些方法都有一个点,需要手动一个一个的去设置用户的登陆属性,这对于大型环境,会打来很大的工作量。为此,我提出下面这个方法,主要思想创建一条域组策略的是将在该计算机上登陆最多的用户添加到“在本地登陆”中去。但是不同的机器又不同的用户,如何解决这个问题呢。我的处理方法是在每个客户端添加一个本地用户组,在策略“在本地登陆”中,将一个组添进去,将登陆客户端机器最多的用户添加到这个组中去。创建本地组和添加用户到组是可以采用脚本来实现的,从而解决了逐个设置的麻烦。 本人脚本不是很熟,很多是参照其他的脚本写的,也许有的地方不是很***。 一、创建本地组 有两种方式,一种BAT脚本,一种VBS脚本,将脚本作为启动脚本。 1、BAT方式 net localgroup LogonUser /add /comment:允许本地登组 2、VBS strComputer = "." Set objComputer = GetObject("WinNT://" & strComputer & ",computer") Set objGroup = objComputer.Create("group", "LogonUser") objGroup.SetInfo 二、找出在客户端登陆最多的用户。 谁的机器,一般情况下当然是谁使用谁登陆的最多。哪么如何找出这个用户呢?登陆登陆,对了,审核。哪么我们得在域中的策略中将登陆成功审核开启。我们只需要检索谁登陆成功审核日志最多。首先***个要解决的问题就是,我如何获得在这台机器上登陆过得域账户? 每一个域账户登陆后,都会在注册表SOFTWAREMicrosoftWindows NTCurrentVersionProfileList写入一个记录,下面的子项是他们的SID。哪么我只需要读出这些SID就可以了。在反过来通过SID查处用户。 Set oReg=GetObject("winmgmts:{impersonationLevel=impersonate}!" &_ strComputer & "rootdefault:StdRegProv") strKeyPath = "SOFTWAREMicrosoftWindows NTCurrentVersionProfileList" oReg.EnumKey HKEY_LOCAL_MACHINE, strKeyPath, arrSubKeys For Each subkey In arrSubKeys If left(subkey,40) = "S-1-5-21-3417139075-3398302879-647143828" Then '比较SID,只统计域帐户,上面这一行是域用户SID的前面一段,应该属于域ID。 (编辑:武陵站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
相关内容
- 如何在Windows Phone 8应用程序中使用现有的sqlite数据库
- 比man更强悍的命令行工具cheat
- Windows 10中修复损坏的键盘驱动程序的方法
- win10内置截图快捷键设置教程
- 一文告诉你如何全方位监控Linux系统状况
- windows-server-2012-r2 – ReFS是否已准备好在Hyper-V 201
- windows-server-2008 – Windows 7 x64 Ultimate上的IIS 7.
- windows-server-2012 – Windows Server 2012 – 完全支持区
- 怎样学习一键 Windows 10 安装系统教程
- 重启后Windows服务不会自动启动?
站长推荐
热点阅读