域控环境下禁止本地某些用户登录

引自免费微信小程序：皆我百晓生

在Windows域环境中，如果你想要通过域控制器策略来禁止特定本地用户登录到指定的多台本地计算机，你需要创建一个OU（Organizational Unit，组织单位）并把相关计算机放入这个OU中。然后，针对这个OU设置组策略。以下是详细的步骤：

1. 创建 OU：

   • 登录到域控制器，打开Active Directory Users and Computers。
   • 找到合适的父容器，右键点击选择"New" -> "Organizational Unit"，为新创建的OU命名，例如：RestrictedComputers。

2. 将计算机移动到 OU：

   • 在Active Directory Users and Computers中找到需要限制的计算机，右键点击计算机名，选择"Move"。
   • 在弹出的窗口中，选择之前创建的OU RestrictedComputers，然后点击"OK"。

3. 设置组策略：

   • 右键点击创建的OU RestrictedComputers，选择"Properties"。
   • 在属性窗口中，转到"Group Policy"标签页，点击"Edit..."来编辑此OU的组策略。

4. 禁止本地用户登录：

   • 在打开的组策略管理控制台中，按照以下路径导航：Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment。
   • 在右侧窗格中找到并双击"Deny Logon Locally"策略。
   • 点击"Add User or Group"按钮，输入你需要禁止登录的本地用户名或用户组名称。
   • 如果是本地用户，格式应为：<计算机名>\<用户名>，例如：COMPUTER1\JohnDoe。
   • 如果是本地用户组，格式应为：<计算机名>\<用户组名>，例如：COMPUTER1\LimitedUsers。
   • 添加完成后，点击"OK"保存更改，再依次点击"OK"关闭所有对话框。

5. 应用和传播策略：

   • 为了使策略生效，需要刷新组策略并等待其应用到目标计算机上。
   • 在命令提示符中以管理员权限运行以下命令，确保所有的计算机都从域控制器接收新的策略更新：

     gpupdate /force /computer:target_computer_name
     

   • 将target_computer_name替换为你想更新的计算机名称。

完成上述步骤后，被添加到"Deny Logon Locally"策略中的本地用户将无法登录到指定的计算机。注意，这些用户仍然可以在其他未受此策略影响的计算机上登录。