如何要求用戶只能用AD域用戶身份登錄,而IT管理員可以用local administrators身份登錄呢?
我們可以通過設置AD組策略來禁止本機用戶登錄。
在Domain Controller的GPO中,
選擇
Policy\Computer Configuration\Windows Setting\Security Settings\Local Policies\User Rights Assignment\ Log On Locally
添加兩個組,Administrator和Domain Users,運行gpupdat,那下次用戶就只能以域用戶身份登錄了。
假如Domain Controller 是 Windows Server 2003,組策略位置有點不同,位置爲
Computer Configuration\Windows Setting\Security Settings\Local Policies\User Rights Assignment\Log On Locally.