none
Как оставить в списке выбора доменов при логине в windows только домен в котором находится пк? RRS feed

  • Вопрос

  • Есть два домена в разных лесах с настроенными двусторонними доверительными отношениями.
    При входе в windows есть drop-down список выбора домена, в котором перечислены домены и локальный компьютер.

    1. Пробовал создать DWORD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\NoDomainUI со значением 1, эффект просто скрытие drop-down списока выбора домена. Недостаток отсутсвие возможности выбора локально компьютера. Через имя_пк\локальный_пользователь неудобно т.к. нужно помнить имя пк, так же для конечного пользователя изменится привычный вход в windows.

    2. При загрузке компьютера выполняется автоматический поиск всех доверенных доменов, сохраняются в
    Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DomainCache\, строковый параметр для каждого домена.
    Пробовал
    при загрузке через GPO скриптом удалять ненужные домены. Эффект через несколько секунд после предложения ctrl+alt+del все доверенные домены снова появляются.

    Интерактивный доступ пользователей из доверенного домена регулиется через GPO: Конфигурация компьютера -> Параметры безопасности->Локальные Политики -> Назначение прав пользователя ->Локальные вход в систему
    .

    Хочется чтобы для пользователей при входе в windows, внешне ничего не менялось(появление еще одного домена), чтобы не было лишних вопросов.


    24 сентября 2008 г. 1:58

Ответы

  • 1. Разорвал доверительные отношения.
    2. Предоставил пользователям system и локальный администратор полные права на файл.
    3. Перезагрузил рабочую станцию.
    4. Забрал права за запись (остались только чтение и выполнение).
    5. Настроил доверительные отношения.
    6.
    Перезагрузил рабочую станцию. Доверенного домена в списке нет. Все GPO применяютя.

    Пока вроде все работает Smile
    25 сентября 2008 г. 1:19

Все ответы

  • http://support.microsoft.com/kb/310611

    Можно попробовать сделать обратное, т.е. снять разрешения на Netlogon.ftl

    24 сентября 2008 г. 5:49
  • Поставил полный запрет на доступ к %SystemRoot%\System32\Config\Netlogon.ftl
    для пользователей System и Администратор(локальный)

    Помогло Smile Спасибо.
    В списке выбора доменов остались только локальный компьютер и родительский домен.

    Осталось только теперь через групповую политику научиться менять разрешения на доступ к файлу.
    24 сентября 2008 г. 6:11
  • В групповой политике Computer Configuration->Windows Settings->Security Settings->File System

    Добавьте туда Netlogon.ftl и снимите все разрешения (либо поставьте явный запрет)

    24 сентября 2008 г. 6:34
  • Через GPO явно запретил полный доступ для пользователей System и Администраторы домена для файла Netlogon.ftl. Все заработало Smile
    Нашел еще утилиту
    cacls.
    Хотел сначала через VBS скрипт выполнть "cacls %SystemRoot%\System32\Config\Netlogon.ftl /C /P System:N" (для пользователя System), но потом увилел сообщение от dmirk. Спасибо.
    24 сентября 2008 г. 8:12
  • В общем последствия запрета на доступ к %SystemRoot%\System32\Config\Netlogon.ftl
    для пользователей System и Администратор(локальный) следующие:

    Не применяются групповые политики для пользователей, для компьютеров ещё не проверил, но думаю тоже не будет работать. Пробовал дать разрешение этим пользователям только чтение и выполнение....но в этом случае в списке выбора домена при регистрации присутствует доверенный домен.

    Так, что вопрос пока открытый.
    24 сентября 2008 г. 10:23
  • С моей точки зрения, другого способа нет.

    Если только попробовать вручную откорректировать этот файл, оставив только нужный домен и дать пользователям права на чтение.

    Но формат файла "кривой" Sad

    Либо на виртуальной машине поднять домен с аналогичным названием, присоединить к нему виртуальную машину клиента и полученный Netlogon.ftl попробовать подсунуть на реальную машину
    24 сентября 2008 г. 10:47
  • 1. Разорвал доверительные отношения.
    2. Предоставил пользователям system и локальный администратор полные права на файл.
    3. Перезагрузил рабочую станцию.
    4. Забрал права за запись (остались только чтение и выполнение).
    5. Настроил доверительные отношения.
    6.
    Перезагрузил рабочую станцию. Доверенного домена в списке нет. Все GPO применяютя.

    Пока вроде все работает Smile
    25 сентября 2008 г. 1:19