默认的Windwos域下的普通用户对所有域内计算机都有一定的访问权限的,包括:登录、网络访问等

如果希望Windows 域下普通用户的权限受到一些常规限制,比如只能登陆指定的计算机,只能访问指定的网络资源;通常的方法包括:

1、通过组策略,阻止Domain Users组的本地登录权限,或者网络登录权限,本地登录权限好限制,网络登录权限限制似乎会引起一些冲突性问题,未经验证!

2、指定普通用户的“登录到指定计算机属性”

3、阻止本地计算机账户的Users组自动添加Domain Users组。这似乎一个彻底的解决办法。

实现方法3的方式有2中常见的:

A:通过“组策略》受限制的组”的方式部署组策略,强制本地Users组的成员范围。但这种方式会使所有的计算机的Users组统一配置,灵活性有欠缺。而且已经发现在Windows7下,域用户必须具有本地Users组权限才能正常登录,即使已经加入本地Administrators组也不行。

B:通过脚本,删除计算机的本地Users组中的Domain Users。

没有能够完整的查证相关资料,目前我采用的通过组策略部署启动脚本,然后再脚本中删除本地Users组中的Domain Users。

脚本代码如下:

'Remove Domain Users From Local Users
strComputer = "."
On Error Resume Next
	Set oGroupAdm = GetObject("WinNT://" & strComputer & "/Users")
	For Each oAdmGrpUser In oGroupAdm.Members
	        If (LCase(oAdmGrpUser.Name) = "domain users") Then
	                'wscript.echo("Remove:" & oAdmGrpUser.ADsPath)
	                oGroupAdm.Remove oAdmGrpUser.ADsPath
	               If (Err.Number <> 0) Then
            			'wscript.echo( "Remove Error:" & Err.Number)
       				End If
	        End if
	Next

此方案只是临时性解决方案,尚未通过充分验证!

补充:2011.3.24

上述方案存在问题,补充设置:使用组策略定义可以本地登录组,同时严格避免给用户直接指定终端登录权限,用户即使没有本地登录权限,只有拥有终端登录权限,就可以通过远程桌面登录。

(42)

分类: 应用

1 条评论

就是上 · 2011/03/21 7:12 下午

多有启发,深思中……
以后常来您的博客……

发表评论

电子邮件地址不会被公开。