none
כיצד למנוע ממשתמשים לעשות לוגאון לדומיין אחר RRS feed

  • שאלה

  • שלום לכולם.

    יש לי 2 דומיינים בשתי פורסטים שונים. יש בינהם TRUST דו כיווני.

    השאלה שלי היא כיצד אני מונע ממשתמשים לעשות LOGON לדומיין אחר(במסך בו מקישים את השם משתמש וסיסמה - יש LOG ON TO)

    אני רוצה שבמסך LOG ON TO יהיה רק הדומיין שאני אחליט ולא הדומיין השני שיש איתו טראסט

    SERVER 2003 R2 בשני המערכות. 2003 NATIVE ברמת הדומיין והפורסט בשניהם

    יום חמישי 09 ספטמבר 2010 10:58

כל התגובות

  • שלום רב,

    ישנה אופציה לבצע זאת ע"י שינוי רגיסטרי שירוץ ב LOGON SCRIPT של המחשב, אך מכיוון שזאת אופציה שלא נתמכת לדעתי, תוכל להסביר למשתמשים

    להיכנס עם UPN Name, כלומר:

    user@domain.local

    בהצלחה

    יום חמישי 09 ספטמבר 2010 18:42
  • שלום

    קודם כל אנא תסביר מה הבעיה שאתה מנסה למנוע?

    האם הבעיה היא שמשתמשים מנסים בטעות לעשות לוגון ל DOMAIN שגוי ואז נכשלים ומוציאים עליך את התסכול?

    או שהבעיה היא שהם מצליחים להיכנס כי יש אצלכם חשבונות כפולים - כלומר לאותו משתמש יש חשבון בשני ה DOMAIN ,

    ואז הם מצליחים לעשות לוגון ל DOMAIN השני ואתה רוצה לחסום את האופציה?

     

    אם המטרה היא לעזור למשתמשים להימנע מכניסה בטעות, אז יש מספר אופציות:

    * הדרכה למשתמשים - זה לא חייב להיות כנס של כל העובדים אלא יכול להסתכם בהודעת דואר עם הסבר ברמת המשתמש,

    וצילומי מסך.

    * כניסה דרך UPN כפי שיובל הציע.

    יש גם אופציה לשלוט על מסך הכניסה, כפי שמתואר כאן באחת התגובות:

    http://www.tomshardware.com/forum/223570-46-remove-domain-drop-list

    להלן ציטוט חלקי מן התגובה הזו:

    Although there is no group policy setting to do this, I got around the problem 
    by writing a custom ADM file which changes a couple of registry keys in:
    HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon.

    The 2 keys to change are:
    ShowLogonOptions - set to 0 to hide the domain list &
    DefaultDomainList - set this to the domain you need to logon to.

    ויש שם גם קובץ ADM שאתה יכול להטמיע בעזרת GPO -

    שים לב רצוי שזה יהיה GPO שמופעל על OU שמכיל את המחשבים ב DOMAIN המתאים,

    למרות שאפשר גם ברמת ה DOMAIN כולו אבל אני תמיד מעדיף שה GPO יופעל רק איפה שצריך אותו.

     

    אגב - תבדוק אם מדובר בתחנות XP או VISTA/WIN7 - יש הבדל במסך הכניסה כי במערכות החדשות יותר אין בכלל את השדה השלישי.

     

     יזהר

     

     


    Yizhar Hurwitz http://yizhar.mvps.org
    שבת 11 ספטמבר 2010 10:34