熟悉微軟AD環(huán)境的人都知道，在默認(rèn)情況下，使用任意一個(gè)域帳戶是可以登錄除DC(域控)以外的任何域成員計(jì)算機(jī)的，這就給我們的企業(yè)信息安全帶了一個(gè)很 大的隱患。試想一下，如果一個(gè)不懷好意的員工利用這個(gè)疏漏來登錄其他員工或管理人員的電腦并竊取企業(yè)的機(jī)密文件的話，可能會(huì)給企業(yè)造成重大損失，而且這種 損失對(duì)企業(yè)來說很可能是致命的，為了避免這種悲劇的發(fā)生，可以采取以下幾種方法來為域用戶指定允許其登錄的計(jì)算機(jī)。

方法一

假設(shè)我們只允許域用戶登錄自己的電腦，而不能登錄其它電腦。當(dāng)然這種做好并不是太靈活，但這種方法卻是最有效的。

在“開始運(yùn)行”中輸入dsa.msc打開ADUC(活動(dòng)目錄用戶和計(jì)算機(jī))，選擇要操作的目標(biāo)用戶，在用戶屬性窗口中，切換到“帳戶”選項(xiàng)卡，并選擇“登錄到”。

在“Logon Workstaions”窗口中的“用戶可以登錄到”區(qū)域選擇“下列所有計(jì)算機(jī)”，并將該域帳戶所使用的計(jì)算機(jī)名加入到計(jì)算機(jī)列表里。如下圖

建議：

考慮到目前很多的企業(yè)辦公平臺(tái)如，OA、wiki等都支持ldap認(rèn)證，所以很多IT管理人員為了節(jié)省管理開銷，而設(shè)置使用域帳戶來登錄這些平臺(tái)，如果是 這種情形的話，強(qiáng)烈建議把DC(域控)的計(jì)算機(jī)名也添加到上圖的計(jì)算機(jī)列表中，這樣就可以避免無法登錄其它辦公平臺(tái)的問題出現(xiàn)。

當(dāng)然可能有朋友會(huì)問，這樣做是否降低了安全性?其實(shí)完全可以放心，因?yàn)樵谟蚩刂破靼踩呗灾校蔷芙^普通域用戶本地登錄的，所以這些普通用戶是無法本地登錄DC(域控)的。