禁止以域使用者登入 PC，請要求 Active Directory Master 採取行動

當 1 臺 PC 加入域時，系統會執行兩項操作：

將 Domain Amdins 組新增到 PC 上的 Administrators 組。

將“域使用者”組新增到電腦上的“使用者”組。

2 以便域管理員可以管理 PC，域使用者可以登入 PC。

3 如果您不打算使用域帳戶登入您的 PC，只需從本地組中刪除域組，但您也無法登入該域。

似乎沒有很有效的方法來禁止哪些使用者的定點登入，因為建立網域名稱的概念是資源統一的需要，每個人都可以使用電腦，但每個人都只能使用自己的系統，這符合Windows多使用者的原則，使用網域名稱後這種趨勢更加明顯， 每個人都有登入許可權，但只能看到自己的個人資訊等，方便了使用者跨OU的協同工作，我剛才做了實驗，我甚至把乙個特定的安全組設定為受限組，但我也設定了敏感，我不允許登入，所以我會再做一次。

一樓說可以，但如果乙個公司有幾百人，工作量就太大了。

二樓說的跟沒事一樣，就好比選擇本地登入，網域名稱使用者放屁沒用。

AD的基本模組功能是將域使用者賬號繫結到域中的計算機成員，並為數指域中計算機內建管理員的賬號設定密碼。

很簡單，當你進行馬鈴薯配對時，你需要對這個領域有足夠的了解。

不可以，不要選擇網域名稱，用本地使用者就可以登入，只要知道使用者名稱和密碼即可。

登入本地機器的指令根本無法成功，如果您已加入域，則會顯示登入域，並要求您選擇域，在 2003 域上建立使用者，然後使用建立的使用者名稱和密碼將客戶端登入到域中。 需要在組策略中更改修改許可權。

根據我的研究，Lolo 暫時沒有提供在 Windows 系統中直接實現此功能的工具。 首先，可以將需要加入本地管理員組的域使用者放入 OU 中，然後通過組策略執行指令碼。

下面我提供一些方法供大家參考：

1 使用域管理員登入 DC。 Active Directory 搜尋引擎優化

net localgroup administrators domain\user /add

使用者使用者是要提公升其許可權的使用者的使用者名稱。

3 點選“開始執行”，輸入“開啟活動控制器、使用者和計算機”，右鍵點選需要設定為“屬性”組策略“的OU。

4 開啟“計算機配置 Windows 設定指令碼”開始新增*bat 檔案。

5 通過在命令提示符下鍵入 gpupdate force 重新啟動計算機。

這是因為要加入本地管理員組，您需要管理員許可權，這意味著在使用者登入之前只能使用計算機登入指令碼執行。

但此時，使用者未登入，無法獲取 %username% 變數。

登入後，我得到了 %username% 變數，但普通使用者許可權無法新增管理員組帳戶。 有兩種方法可以解決這個問題。

否則，使用runas，在使用者登入後使用管理員帳戶新增，但是在指令碼中寫入管理員帳戶和密碼是非常不安全的。

否則，您只能執行計算機啟動指令碼，並將域使用者組新增到本地管理員組。 但再次會讓。

對於所有域使用者來說，對域中的任何計算機行使管理員許可權也是不安全的。

使用者之所以有這樣的需求，其實是為了避免域環境中使用者操作或者客戶端軟體的問題，如果使用者只是暫時的福利措施，是可以接受的，否則就違背了Active Directory的宗旨！ 最終的解決方案是解決使用者在域中遇到的問題，例如解決軟體許可權限制問題。

我不認為我可以禁止它！

您可以為域中的本地帳戶設定安全密碼！

具體配置：1寫乙個。 BAT 檔案儲存到 DC，蝙蝠的內容如下：

網路使用者名稱 密碼 新增本地使用者：管理員

net localgroup 使用者組密碼 新增本地使用者組：管理員

如今，密碼可能有點複雜！

2.在 DC 上建立乙個 OU，然後在 OU 中構建乙個策略並將其放置。 將 BAT 新增到 OU 策略中，並將本地使用者新增到 OU 中，並使用 gpupdate 強制重新整理生效！ 就是這樣！！

找個電腦城問問專業人士，自己被限制解決了，但是你很難被封殺，對不起我幫不上忙。

您所要做的就是將共享目錄設定為由您（使用者）修改和唯讀。

您所要做的就是建立乙個目錄，然後右鍵單擊該屬性，選擇“許可權”，刪除該組和其他人，選擇您的使用者名稱並執行所有操作，以便其他使用者無法訪問您的資料夾，硬碟驅動器分割槽也可以這樣做。

不要在區域網中共享您的計算機，或設定訪客密碼，或者只是不啟用訪客使用者以避免被訪問，如果您啟用它，您可以禁止它...... 要積分，謝謝！

只需設定域控制項的許可權