有时我们想对一些用户限制在一些特定的计算机上进行本地登录（“本地登录”也就是在对应计算机上通过按下【DEL】+【CTRL】+【ALT】组合键，打开登录面板进行的登录），以确保本地系统设置的安全性。如在域控制器组策略中就默认限定只允许Account Operators、Administrators、Backup Operators、Print Operators和Server Operators组成员进行本地登录。实现的方法很简单，只需要把这些要限制本地登录的计算机的OU中创建并链接一个GPO，然后对在该GPO下面的“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“用户权限分配”下的“拒绝本地登录”（要明确拒绝少数用户进行本地登录时选用）或者“允许在本地登录”（要明确允许少数用户进行本地登录时选用）策略项进行设置，最后在GPMC中，过滤掉本OU中允许用户本地登录的用户和计算机即可。

如现要对test.com域网络中的“财务部”中的“test-w020”和“test-w021”两台计算机限制非管理员帐户在本地登录。下面是具体的配置步骤。

（1）打开GPMC，找到“财务部”OU（以上两台要限制本地登录的计算机已在此OU下），单击右键，在弹出菜中选择“创建并链接GPO”菜单选项，打开如图10-32所示对话框。在其中输入本GPO的名称，在此以策略要实现的功能命名——“本地登录限制”为名。

（2）单击“确定”按钮，即可把这个新建的GPO添加并链接到“财务部”OU下，如图10-33所示。

（3）选择这个新建的GPO，单击右键，在弹出菜单中选择“编辑”选项，打开该GPO的组策略编辑器。然后按照“计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“用户权限分配”的顺序，找到“允许在本地登录”（因为此时是要禁止大多数，而仅允许管理员组成员进行本地登录）策略项。如图10-34所示。

图10-32 “新建GPO”对话框

图10-33 在“财务部”OU下新建的GPO

图10-34 “拒绝本地登录”策略项

（4）双击“允许在本地登录”策略项，打开如图10-35所示对话框。系统默认是没有定义该策略项，但并不等于这个策略项就没有在该OU计算机中应用，因为在没有配置的情况下的，默认是继承上级容器（如上级OU、站点、域中GPO的相关设置）。首先要选择“定义这些策略设置”复选项，然后单击“添加用户或组”按钮，打开如图10-36所示对话框。因为我们这里要仅允许管理员组成员在本OU下的计算机上进行本地登录，所以直接输入administrators组帐户即可。

图10-35 “允许在本地登录属性”对话框  

图10-36 “添加用户或组”对话框

（5）在图10-36所示对话框中输入好要允许的用户，或者组帐户，确认没有其他帐户项在里面后，单击“确定”按钮返回到图10-35所示对话框中。不过，此时已添加了仅允许进行本地登录的administrators组选项，如图10-37所示。

（6）单击“确定”按钮完成“允许在本地登录”策略项的配置。因为在“用户权限分配”中还有另一个相对的策略项——拒绝本地登录，而且它的优先级要高于“允许在本地登录”的优先级，所以还需要查看在“拒绝本地登录”策略项中是否存在与“允许在本地登录”策略项的设置项。对于本示例来说，只需要查看，在“拒绝本地登录”策略项中是否有在administrators成员的帐户项，如果有，要删除。默认也是没有配置的，如图10-38所示。

图10-37  添加了允许本地登录的帐户后的“允许在本地登录属性”对话框 

图10-38 “拒绝本地登录”对话框的默认设置

（7）两个策略项确认配置无误，退出“本地登录限制”GPO编辑器，返回到GPMC。因为在“财务部”OU中还有其他计算机，而本策略仅需要限制对其中的test-w020和test-2021两台机的本地登录。还需要在“财务部”OU下，选择该GPO，然后再在图10-33所示“作用域”选项卡“安全筛选”栏中单击“添加”按钮，打开如图10-39所示对话框。在其中输入要应用本限制策略的计算机名，如test-w020。

图10-39 “选择用户、计算机或组”对话框

（8）单击“对象类型”按钮，打开如图10-40所示对话框，在其中选择“计算机”复选项（默认总是不选择的），然后单击“确定”按钮，回到图10-39所示对话框。

图10-40 “对象类型”对话框

（9）再单击“确定”按钮即可把一台计算机添加到图10-33所示的“安全筛选”列表中。再用以上同样的方法，添加另一台要应用本限制策略的计算机test-w021。但要注意的是，每次添加计算机帐户，都需要打开如图10-40所示对话框，重新选择“计算机”复选项。

两台要应用本限制策略的计算机添加好后，在图1-33所示的“安全筛选”列表中就可以见到这台计算机了，如图10-41所示。

图10-41 添加了应用策略的计算机后的“安全筛选”列表

本文摘自《金牌网管师——中小型企业网络组建、配置与管理)》第十章