มีวิธีการใดในเครือข่ายโดเมนที่ป้องกันเฉพาะบัญชี“ ผู้ใช้ภายใน (ผู้ใช้ภายในเครื่อง)” เข้าสู่ระบบ?

0

ฉันกำลังมองหาวิธีในเครือข่ายโดเมนเพื่อป้องกัน "บัญชีผู้ใช้ภายใน (ผู้ใช้ภายในเครื่อง)" เข้าสู่ระบบ (แต่ "บัญชีผู้ใช้โดเมน" ต้องยังสามารถเข้าสู่ระบบในไคลเอนต์)

ฉันพยายามทำเช่นนี้กับนโยบาย "ปฏิเสธการเข้าสู่ระบบในเครื่อง" ผ่านการจัดการนโยบายกลุ่ม แต่ไม่มีกลุ่มสำหรับ "บัญชีผู้ใช้ท้องถิ่น" แต่เราสามารถเพิ่มกลุ่ม "ผู้ใช้โดเมน" ลงในนโยบายนี้ "ปฏิเสธการเข้าสู่ระบบในเครื่อง" แล้วผู้ใช้โดเมน ไม่สามารถเข้าสู่ระบบในเวิร์กสเตชันมีกลุ่มดังกล่าวสำหรับ "ผู้ใช้ในพื้นที่" ????

คำอธิบายเพิ่มเติม

ในกล่องโต้ตอบนโยบาย "อนุญาตให้เข้าสู่ระบบในเครื่อง" ใน "นโยบายตัวควบคุมโดเมนเริ่มต้น" ในแท็บอธิบายจะมีการกล่าวถึงว่านโยบายนี้โดยค่าเริ่มต้นจะใช้กับผู้ใช้ต่อไปนี้

เริ่มต้นบนเวิร์กสเตชันและเซิร์ฟเวอร์:ผู้ดูแลระบบผู้ประกอบการสำรองข้อมูลผู้ใช้

ค่าเริ่มต้นในตัวควบคุมโดเมน: ผู้ดูแลระบบผู้ประกอบการสำรองผู้ประกอบการพิมพ์ผู้ประกอบการเซิร์ฟเวอร์ **

ตามค่าเริ่มต้นนี้ฉันคิดว่าควรมีวิธีในการกำหนดกลุ่มผู้ใช้ภายในไคลเอ็นต์ดังกล่าวในนโยบาย "ปฏิเสธการเข้าสู่ระบบในเครื่อง" แต่ทุกครั้งที่ฉันต้องการเพิ่มกลุ่มผู้ใช้ภายในเครื่องนี้เป็นนโยบาย "ปฏิเสธการเข้าสู่ระบบในเครื่อง" กลุ่มโดเมนที่ระบุเท่านั้นหรือ "ผู้ใช้ภายในเซิร์ฟเวอร์" ตัวอย่างเช่นเมื่อฉันพิมพ์ "ผู้ใช้" ในกล่อง "เพิ่มผู้ใช้ & กลุ่ม" ในนโยบาย "ปฏิเสธการเข้าสู่ระบบในเครื่อง" ระบบระบุว่าเป็นกลุ่มของ "ผู้ใช้เซิร์ฟเวอร์ภายในเครื่อง" "ผู้ใช้โลคัลไคลเอ็นต์ (เวิร์กสเตชัน)" จากการตั้งค่านี้ฉันไม่สามารถเข้าสู่ระบบในเซิร์ฟเวอร์ของฉันด้วยบัญชีผู้ดูแลระบบ!

นี่คือวิธีการบางอย่างที่ฉันพยายามและไม่ได้ผลสำหรับฉัน (ลูกค้าทั้งหมดได้เข้าร่วมกับโดเมนและ ping ชื่อโดเมน & เซิร์ฟเวอร์)

  • ฉันพยายามเพิ่มชื่อคอมพิวเตอร์ใน "นโยบายควบคุมโดเมนเริ่มต้น" ในกล่อง "เพิ่มผู้ใช้ & กลุ่ม" ในนโยบาย "ปฏิเสธการเข้าสู่ระบบในเครื่อง" และเมื่อฉันกดปุ่มตรวจสอบชื่อมันจะถูกเพิ่มด้วยชื่อ "domainname \ computername $" แต่ไม่มีผลใด ๆ และผู้ใช้ทั้งหมดยังสามารถเข้าสู่ระบบในคอมพิวเตอร์เครื่องนั้นได้

  • ฉันพยายามเพิ่มชื่อ computername \ localusername ในกล่อง "เพิ่มผู้ใช้ & กลุ่ม" ในนโยบาย "ปฏิเสธการเข้าสู่ระบบในเครื่อง" แต่เมื่อฉันกดปุ่มตรวจสอบชื่อมันไม่ได้ระบุลูกค้าเช่นนั้น

ฉันรู้ (และฉัน) ว่าในกล่อง "เพิ่มผู้ใช้ & กลุ่ม" จะต้องคลิกที่ปุ่มเรียกดูแล้วเลือกประเภทวัตถุและตรวจสอบคอมพิวเตอร์

networking  login  group-policy  local-groups 
ชายันสตาร์
แหล่งที่มา
ดังนั้นคุณต้องการให้ผู้ใช้ที่มีบัญชีโดเมนสามารถเข้าสู่ระบบได้เท่านั้น ค่อนข้างง่าย ... อย่าสร้างบัญชีในเครื่องบนเครื่อง Windows 7 ขึ้นไป (ไม่แน่ใจว่ามีหรือไม่) มีบัญชีผู้ดูแลระบบถูกปิดการใช้งานตามค่าเริ่มต้น ครั้งเดียวที่คุณสร้างบัญชีคือระหว่างการตั้งค่า Windows หากคุณเข้าร่วมเครื่องกับโดเมน (และคุณกำหนดค่ากลุ่มท้องถิ่นเพื่อให้มีกลุ่มโดเมน) คุณสามารถทำได้ในทางทฤษฎีลบบัญชีที่คุณสร้างขึ้นในตอนแรกและจากนั้นเฉพาะผู้ใช้โดเมนของคุณสามารถเข้าสู่ระบบ ...
Kinnectus
tnx สำหรับการตอบสนองคริส แต่ฉันมีผู้ใช้ท้องถิ่นในลูกค้าของฉันและฉันไม่ต้องการให้พวกเขาเข้าสู่ระบบในท้องถิ่นจากนโยบายเซิร์ฟเวอร์หรืออย่างใดยกเว้นนั่งอยู่ข้างหลังลูกค้าแต่ละรายและลบบัญชีท้องถิ่นของพวกเขา
Shayan Star
ฉันคิดว่าเนื่องจากคุณมีผู้ใช้ท้องถิ่นอยู่ในเครื่องแล้วตัวควบคุมโดเมนจะไม่สามารถหยุดพวกเขาเข้าสู่ระบบคุณสามารถเขียนสคริปต์ที่ซับซ้อนที่ทำงานผ่านผู้ใช้ของคุณผ่านรีจิสทรีได้รับ ID ผู้ใช้และหมุนบัญชีของพวกเขา หากพวกเขาไม่ใช่บัญชีโดเมน ... ปัญหาที่คุณมีคือการเข้าร่วมคอมพิวเตอร์กับโดเมนที่คุณ (ผู้ดูแลระบบ) ยืนยันระดับความไว้วางใจระหว่างไคลเอนต์และตัวควบคุมโดเมน - ซึ่งรวมถึงบัญชีที่สร้างขึ้นในเครื่อง
Kinnectus
คุณมีสิทธิ แต่ฉันยังคงค้นหาวิธีที่ 4 โดยไม่ต้องเขียนสคริปต์ :)
Shayan ดาว
นโยบายกลุ่ม "ปฏิเสธการเข้าสู่ระบบภายในเครื่อง" จะถูกใช้เมื่อคุณต้องการให้บัญชีผู้ใช้เครื่องที่ใช้งานอยู่และสามารถเข้าสู่ระบบผ่านเครือข่าย แต่ไม่สามารถเข้าสู่ระบบที่คอนโซล นั่นคือสิ่งที่คุณต้องการในกรณีนี้จริงหรือ
rakslice
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.