我的大学正在从基于Novell的login系统切换到Active Directory。 IT广告的“特色”之一就是任何用户login到任何机器上的能力。 这对计算机实验室等是很好的,但是对于办公室和研究生实验室里的电脑,我们真的宁愿不让任何随机的本科生走进来login。 有没有简单的方法来限制谁可以使用活动目录login到特定的机器? 大多数电脑都运行XP,Vista上有一些。
你看过这些指南吗?
http://itadmin.creative.auckland.ac.nz/FAQ/Network/ActiveDirectory/restrictAccessPolicy/
http://itadmin.creative.auckland.ac.nz/FAQ/Network/ActiveDirectory/noAccessGroupPolicy/
通过访问控制在Windows中的工作方式,您通常需要从相反的方向考虑这种types的事情。 而不是允许每个人,然后试图locking一部分用户,而是希望默认情况下不允许任何人,并允许应该能够使用这些系统的用户的子集。
明确的“拒绝”ACL始终优先于“允许”ACL
始终针对组中的各种安全设置,而不是针对特定的用户,这也是最佳做法。 即使现在只有一个用户需要访问,但并不总是这样,或者需要访问的用户也可能会改变。