阻止某些用户登录到某些域工作站
我的一位同事最近问我,是否有可能阻止某些人在我们公司的网络上使用某些PC。如果您进行了域名设置,则设置非常简单,前提是设置非常简单。
我的意思是“如果您的设置做得好”不是指服务器软件的安装程度或任何类似的内容。我指的是您在活动目录中对用户进行分组的程度。我们为组织中的每个级别的用户创建了组,因此对于我来说,很容易阻止特定的人群使用某些工作站。
在这种情况下,我被要求阻止电气和仪表人员使用分配给机械工头的PC,因为电气和仪表人员可以使用自己的PC。
在需要阻止访问的PC上,以管理员身份登录后,我只需在运行命令块中键入“ GPEDIT.MSC”即可运行组策略编辑器。
运行GPedit.msc
浏览到;…。
>计算机配置\
> Windows设置\
>安全设置\
>本地政策\
>用户权限分配\
在“组策略编辑器”中浏览
查找“本地拒绝登录”
在“用户权限分配”中,找到“本地拒绝登录”。
使用“添加用户或组”按钮从Active Directory列表中添加组。
请确保现在显示正确的组,如下面的红色所示。
添加电气和仪器组。
这将阻止任何电气和仪器用户登录到其中一个机械工头PC。需要记住的非常重要的一点是,您没有任何我想称呼的东西,对任何特定用户来说,这都是“组成员的交叉污染”。意思是,用户对组的成员资格是尽可能排他的。您没有同一用户成为您的活动目录中每个组的成员。如果您不是故意这样做的话,这可能会导致某个人被阻止。因此,保持成员资格简单明了。
如果您在管理员大楼中有一个用于管理员的管理员组,并且您的一个用户的工作性质如此,以至于他需要访问与Plant相关的文件以及与Admin相关的文件,请在Active Directory中创建一个新的Group而不是简单地使该用户成为Plant Group和Admin Group的一部分。
以后,如果您阻止Plant Group访问某些硬盘驱动器,则即使该用户实际上需要访问权限,也可能会将该用户阻止。他是Admin Group的成员这一事实没有任何意义,因为他也是Plant Group的一部分,因此可能被屏蔽。
同样,请小心添加要拒绝访问资源的“用户”或“所有人”组。管理员是“用户”和“所有人”组的一部分。创建自己的明智的组织结构,并相应地放置用户。
