熟悉微软AD环境的人都知道,在默认情况下,使用任意一个域帐户是可以登录除DC(域控)以外的任何域成员计算机的,这就给我们的企业信息安全带了一个很大的隐患。试想一下,如果一个不怀好意的员工利用这个疏漏来登录其他员工或管理人员的电脑并窃取企业的机密文件的话,可能会给企业造成重大损失,而且这种 损失对企业来说很可能是致命的,为了避免这种悲剧的发生,可以采取以下几种方法来为域用户指定允许其登录的计算机。
假设我们只允许域用户登录自己的电脑,而不能登录其它电脑。当然这种做好并不是太灵活,但这种方法却是最有效的。
在“开始运行”中输入dsa.msc打开ADUC(活动目录用户和计算机),选择要操作的目标用户,在用户属性窗口中,切换到“帐户”选项卡,并选择“登录到”。
在“Logon Workstaions”窗口中的“用户可以登录到”区域选择“下列所有计算机”,并将该域帐户所使用的计算机名加入到计算机列表里。如下图
建议:
考虑到目前很多的企业办公平台如,OA、wiki等都支持ldap认证,所以很多IT管理人员为了节省管理开销,而设置使用域帐户来登录这些平台,如果是 这种情形的话,强烈建议把DC(域控)的计算机名也添加到上图的计算机列表中,这样就可以避免无法登录其它办公平台的问题出现。
当然可能有朋友会问,这样做是否降低了安全性?其实完全可以放心,因为在域控制器安全策略中,是拒绝普通域用户本地登录的,所以这些普通用户是无法本地登录DC(域控)的。