其實這個問題，我在技術(shù)論壇上專門發(fā)帖請教過很多人，大家的解決方法很多我也沒有一一去試，因為他們寫的解決方案，跟我當時遇到這個問題需要解決的前提是不一樣的。

這兩天閑來無事，竟偶然遇到了解決限制本地登錄的域帳戶的方法

就像可登錄域的所有帳戶都存儲在domain users組里面一樣，所有可登錄本地計算機的域帳戶是保存在本地計算機的users組里面的，打開users的成員一看domain users這個組果然在里面。到此，終于明白為什么所有的域帳戶都可以登錄任意計算機了。

一般而言，域內(nèi)一些比較重要的計算機是不想任何人都可以登錄的，這樣安全性就沒有了保證。比如財務(wù)部門的計算機，只希望個別財務(wù)的帳戶能登陸。所以要限制這點，只要把本地計算機users組里面的domain users給刪除掉，加入希望登陸的域帳戶即可起到限制的作用

11月22日，再次和別人討論過這個問題后，很是失望，原來結(jié)果是這樣的，我上面寫那個辦法只是在本機上的操作權(quán)限，也就是說domain users存在于本地的users組里面只是讓域用戶擁在本地有最低的操作權(quán)限而已

請問如何使域用戶只能登陸自己的電腦，不能在其他人的電腦上登陸？limitlogon是否能夠做到這個功能？感覺應(yīng)該是一個很常用的功能，怎么就不能實現(xiàn)呢？回答：只有在用戶賬戶屬性中設(shè)置“登錄到”。這個也只能一個一個賬戶的設(shè)置。limitlogon 那是限制一個賬戶只能登錄一次，但不限制登錄到哪臺電腦上。嗯……那么通常來說，有四個方面來闡述這個問題：

其一，我想這可能是中西方一個文化背景的差異。微軟在設(shè)計ad的架構(gòu)的時候是用戶的利益為中心的，也就是說無論任何時候要保障用戶的應(yīng)用不受到影響，如果將每個用戶賬戶限制只能登錄到哪臺計算機，那么一但一批賬戶在規(guī)定的計算機上登錄遇到問題的時候，用戶短時間內(nèi)就無法使用其他人的計算機進行工作了。

其二，通常同一個業(yè)務(wù)部門，具有相同的業(yè)務(wù)特性，該部門內(nèi)的安全登錄可以這樣設(shè)置，讓業(yè)務(wù)部門內(nèi)的用戶組可以在該部門內(nèi)的所有計算機上登錄。這樣做，可以算是針對上面那種情況，在考慮安全性的前提下的一個折衷方案。

其三，在客戶端本地不要保留關(guān)鍵性業(yè)務(wù)數(shù)據(jù)。從原則上來講，企業(yè)是不會為用戶的私人數(shù)據(jù)承擔安全責任的，客戶端僅是為業(yè)務(wù)運作提供的一個工具，所有的業(yè)務(wù)數(shù)據(jù)以及企業(yè)智能財產(chǎn)都應(yīng)該得到集中保存和審核。如果管理員從it基礎(chǔ)架構(gòu)上做好了工作，那么就會發(fā)現(xiàn)對于同一業(yè)務(wù)部門的用戶來說，沒有必要限制的如此嚴格。當年，國外很多服務(wù)器和筆記本硬盤都很小，只分一個區(qū)，就是因為這樣一個考慮。

其四，如果按照微軟客戶端的最佳安全實踐來做，默認狀態(tài)下，domain user是沒有權(quán)限查看其他賬戶數(shù)據(jù)的。----- gnaw0725 您好！

根據(jù)我的研究，在組策略上是沒有具體的設(shè)置可以禁止域帳號進行漫游登陸。如果您希望指定域用戶只能登陸某臺客戶端的話，建議您執(zhí)行以下操作：

1. 點擊“開始－>運行”并輸入“DSA.MSC” －>打開“Active Directory用戶和計算機”。

2. 右鍵點擊需要進行設(shè)置的用戶－>“屬性”－>“帳戶”－>“登陸到”－>“下列計算機”。

3. 添加指定的計算機。

更多信息請查看IT技術(shù)專欄