拒绝访问域 – 访客用户上的文件服务器和PC

假设您没有授予Everyone对象对任何资源的访问权限，您可以在客户机将使用的计算机上创build一个本地帐户。 他们使用该帐户login到计算机，他们甚至没有login到域，所以默认情况下他们不能访问任何域资源。

如果您必须使用域帐户，请创build一个全新的域帐户，并为该帐户创build一个新的域安全组（可称为“访客用户”）。将该帐户添加到该组中，设置新的组作为用户的主要组，然后从Domain Users组中删除该用户。 现在，用户应该可以访问域中的任何内容，假设您还没有授予访问Everyone对象的任何内容的权限，因为过去对于全新的用户或组，没有人可以授予访问权限。

如果您已经为每个人授予了访问权限，或者您有理由认为每个人都可以拥有对任何资源的访问权限，那么您必须将其运行并更正。 一个对象，你几乎总是可以逃脱使用作为所有人的替代品是域用户 ，因为一般来说，每个域帐户是域用户的成员（除非该帐户已被明确删除，如上所述）。 请注意，您不应更改您的用户在工作时间使用的资源的权限，因为他们很可能会在您下次login并获取安全令牌之前被拒绝您的更改。 理想情况下，您将有一些经验丰富的顾问手头帮助您进行这种权限更改，因为很可能无意中拒绝用户访问重要资源或授予用户访问机密信息的权限。

如果全部员工永远不会使用计算机来访问域，则可以将计算机专用于访客访问，甚至不会将其join到域中。 最后，客人的最终分离将是所讨论的计算机与域计算机处于单独的networking或VLAN上，可能通过具有多个物理或虚拟接口的防火墙共享互联网，或者甚至与单独的专用防火墙和互联网连接。

如果访客用户帐户是Active Directory帐户，为什么不到Active Directory中的用户帐户，转到属性，转到帐户选项卡，单击login到…button，然后input您将允许访客用户login到的计算机？

托德的观点也应该在决定如何实施之前考虑。 如果您的计算机具有共享和NTFS权限“Everyone Allow Full”的共享，则需要处理该问题。

在与生产networking分离的networking上访客访问的正确方法是让访客networking与Todd指出的单独的虚拟局域网（VLAN）相同。

许多人似乎认为允许访客访问他们的networking并不是什么大不了的事，他们只需要拨一个开关就可以工作，但不能让那些访客访问他们的networking。 这不是如何工作。 规划可以节省很多麻烦，所以如果您认为您可能需要为访客提供Internet访问权限，但不要将其保留在生产networking之外，则应该花时间用VLAN正确devise和隔离您的networking。 这不是一个小任务，但是如果configuration正确，可以保持两个networking隔离，同时允许访问Internet（或其他资源，如打印机或服务器）。