Chinaunix首页 | 论坛 | 博客
  • 博客访问: 2113883
  • 博文数量: 433
  • 博客积分: 4775
  • 博客等级: 上校
  • 技术积分: 8054
  • 用 户 组: 普通用户
  • 注册时间: 2009-10-19 16:15
文章存档

2014年(9)

2013年(20)

2012年(77)

2011年(323)

2009年(4)

分类: 系统运维

2011-10-19 19:40:35

有时我们想对一些用户限制在一些特定的计算机上进行本地登录(本地登录也就是在对应计算机上通过按下【DEL+CTRL+ALT】组合键,打开登录面板进行的登录),以确保本地系统设置的安全性。如在域控制器组策略中就默认限定只允许Account OperatorsAdministratorsBackup OperatorsPrint OperatorsServer Operators组成员进行本地登录。实现的方法很简单,只需要把这些要限制本地登录的计算机的OU中创建并链接一个GPO,然后对在该GPO下面的计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“用户权限分配下的拒绝本地登录(要明确拒绝少数用户进行本地登录时选用)或者允许在本地登录(要明确允许少数用户进行本地登录时选用)策略项进行设置,最后在GPMC中,过滤掉本OU中允许用户本地登录的用户和计算机即可。

如现要对test.com域网络中的财务部中的“test-w020”“test-w021”两台计算机限制非管理员帐户在本地登录。下面是具体的配置步骤。

1)打开GPMC,找到财务部”OU(以上两台要限制本地登录的计算机已在此OU下),单击右键,在弹出菜中选择创建并链接GPO”菜单选项,打开如图10-32所示对话框。在其中输入本GPO的名称,在此以策略要实现的功能命名——“本地登录限制为名。

2)单击确定按钮,即可把这个新建的GPO添加并链接到财务部”OU下,如图10-33所示。

3)选择这个新建的GPO,单击右键,在弹出菜单中选择编辑选项,打开该GPO的组策略编辑器。然后按照计算机配置”→“Windows设置”→“安全设置”→“本地策略”→“用户权限分配的顺序,找到允许在本地登录(因为此时是要禁止大多数,而仅允许管理员组成员进行本地登录)策略项。如图10-34所示。

10-32 “新建GPO”对话框

10-33 财务部”OU下新建的GPO


10-34 “拒绝本地登录策略项

4)双击允许在本地登录策略项,打开如图10-35所示对话框。系统默认是没有定义该策略项,但并不等于这个策略项就没有在该OU计算机中应用,因为在没有配置的情况下的,默认是继承上级容器(如上级OU、站点、域中GPO的相关设置)。首先要选择定义这些策略设置复选项,然后单击添加用户或组按钮,打开如图10-36所示对话框。因为我们这里要仅允许管理员组成员在本OU下的计算机上进行本地登录,所以直接输入administrators组帐户即可。

 

10-35 “允许在本地登录属性对话框  

10-36 “添加用户或组对话框

5)在图10-36所示对话框中输入好要允许的用户,或者组帐户,确认没有其他帐户项在里面后,单击确定按钮返回到图10-35所示对话框中。不过,此时已添加了仅允许进行本地登录的administrators组选项,如图10-37所示。

6)单击确定按钮完成允许在本地登录策略项的配置。因为在用户权限分配中还有另一个相对的策略项——拒绝本地登录,而且它的优先级要高于允许在本地登录的优先级,所以还需要查看在拒绝本地登录策略项中是否存在与允许在本地登录策略项的设置项。对于本示例来说,只需要查看,在拒绝本地登录策略项中是否有在administrators成员的帐户项,如果有,要删除。默认也是没有配置的,如图10-38所示。

 

10-37  添加了允许本地登录的帐户后的允许在本地登录属性对话框 

10-38 “拒绝本地登录对话框的默认设置

7)两个策略项确认配置无误,退出本地登录限制”GPO编辑器,返回到GPMC。因为在财务部”OU中还有其他计算机,而本策略仅需要限制对其中的test-w020test-2021两台机的本地登录。还需要在财务部”OU下,选择该GPO,然后再在图10-33所示作用域选项卡安全筛选栏中单击添加按钮,打开如图10-39所示对话框。在其中输入要应用本限制策略的计算机名,如test-w020

10-39 “选择用户、计算机或组对话框

8)单击对象类型按钮,打开如图10-40所示对话框,在其中选择计算机复选项(默认总是不选择的),然后单击确定按钮,回到图10-39所示对话框。

10-40 “对象类型对话框

9)再单击确定按钮即可把一台计算机添加到图10-33所示的安全筛选列表中。再用以上同样的方法,添加另一台要应用本限制策略的计算机test-w021。但要注意的是,每次添加计算机帐户,都需要打开如图10-40所示对话框,重新选择计算机复选项。

两台要应用本限制策略的计算机添加好后,在图1-33所示的安全筛选列表中就可以见到这台计算机了,如图10-41所示。

10-41 添加了应用策略的计算机后的安全筛选列表

本文摘自《金牌网管师——中小型企业网络组建、配置与管理)》第十章

阅读(1276) | 评论(0) | 转发(1) |
给主人留下些什么吧!~~