熟悉微软AD环境的人都知道,在默认情况下,使用任意一个域帐户是可以登录除DC(域控)以外的任何域成员计算机的,这就给我们的企业信息安全带了一个很大的隐患。试想一下,如果一个不怀好意的员工利用这个疏漏来登录其他员工或管理人员的电脑并窃取企业的机密文件的话,可能会给企业造成重大损失,而且这种 损失对企业来说很可能是致命的,为了避免这种悲剧的发生,可以采取以下几种方法来为域用户指定允许其登录的计算机。
假设我们只允许域用户登录自己的电脑,而不能登录其它电脑。当然这种做好并不是太灵活,但这种方法却是最有效的。
在“开始运行”中输入dsa.msc打开ADUC(活动目录用户和计算机),选择要操作的目标用户,在用户属性窗口中,切换到“帐户”选项卡,并选择“登录到”。
在“Logon Workstaions”窗口中的“用户可以登录到”区域选择“下列所有计算机”,并将该域帐户所使用的计算机名加入到计算机列表里。如下图
建议:
考虑到目前很多的企业办公平台如,OA、wiki等都支持ldap认证,所以很多IT管理人员为了节省管理开销,而设置使用域帐户来登录这些平台,如果是 这种情形的话,强烈建议把DC(域控)的计算机名也添加到上图的计算机列表中,这样就可以避免无法登录其它办公平台的问题出现。
当然可能有朋友会问,这样做是否降低了安全性?其实完全可以放心,因为在域控制器安全策略中,是拒绝普通域用户本地登录的,所以这些普通用户是无法本地登录DC(域控)的。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
没有密码会话劫持是如何实现的?
听说本地Windows管理员可在没有密码的情况下劫持会话,这是如何实现的?如何阻止这中会话劫持?
-
如何利用组策略优化win7安全
针对Windows 7的优化设置方法层出不穷,用户往往是东拼西凑,没个头绪,而且这些方法经常真伪难辨,效果到底如何用户也无从知晓。用户该怎么办呢?
-
小方法 轻松解救无法启动的系统组策略
组策略的基本原理就是修改注册表中相应的配置项目,从而达到配置计算机的目的,并且比手工修改注册表更安全、方便、灵活。但有时我们就会碰到“组策略”无法启动的故障……
-
组策略保障共享目录安全
在日常的办公应用中,为了使用的方便,我们习惯于将一些文档、目录共享。但是对于共享的文件夹常常无法做到在使用后即将其关闭,这样可能对共享文件造成破坏……