我需要在两个Active Directory域之间创build双向信任。 但pipe理层担心,在Windowslogin屏幕(其中许多使用Windows XP)的下拉列表中看到另一个域名时,用户会感到困惑,并且由于select了错误的域名,服务台呼叫login失败将飞涨。 此外,这两个域名非常相似,增加了用户的混淆。
有什么办法可以从Windowslogin屏幕的下拉列表中隐藏受信任的域?
有(是)(有点),但是在我告诉你我知道这样做的方式之前,让我告诉你,这个问题的更安全的方法是使用组策略强制用户的默认域 – 所以默认情况下,他们login到您指定的域名,而不必担心域名下拉列表。
无论如何,要删除下拉列表,这将强制用户使用完整的UPN(用户主体名称):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon NoDomainUI的新DWORD DWORD的值设置为1 当机器启动时,login屏幕将不再显示域的下拉列表,用户需要input完整的UPN才能login。
显然,由于这只是一个registry更改,您可以通过GPO或GPP将其推送到您的所有机器,而不是手动执行。
编辑:为了回应@ Massimo的更明确的要求的评论, 我发现这个Technet线程 ,这表明在这个知识库中的错误作为解决方法 。
基本上,由于Netlogon.ftl文件没有被winlogon进程打开的适当权限,因此不能显示受信任域列表,导致仅显示机器/用户所属的域。
基于快速testing,这似乎在2003年的FL森林,XP客户端(全部在我的笔记本电脑的实验室环境中虚拟化)工作。 目前我无法进行更广泛的testing,但如果有其他人能够报告它是否适用于更新的操作系统或不同的环境,则会非常好奇。
使用像这样的错误应该是我做过的最诡异的事情,并且对于在其他环境中如何使用这个function感到好奇。