none
有什么方法能限制域管理员只能DC登录。 RRS feed

  • 问题

  • 系统win 2012,就一个DC和几十台电脑,很简单的网络。

    出于某些考虑,希望能够限制domain admin只能在DC上登录,不能在域的其他电脑上登陆。

    有什么方法能这样做呢?尝试过修改组策略的用户权限分配,拒绝远程登录,没有效果。

    还有什么方法呢?求帮忙,谢谢!

    2014年2月20日 18:14

答案

  • 你好,

    为什么要限制域管理员登陆到客户端呢,在域里,域管理员的权限很大,即使你通过组策略限制了,他也可以自己改回来的。

    你可以尝试一下Deny Logon Locally 策略,这条策略需要链接到客户端所在的OU。

    Regards,

    Yan Li


    Regards, Yan Li

    • 已标记为答案 mbm2011 2014年2月25日 11:40
    2014年2月21日 2:17
    版主

全部回复

  • 你好,

    为什么要限制域管理员登陆到客户端呢,在域里,域管理员的权限很大,即使你通过组策略限制了,他也可以自己改回来的。

    你可以尝试一下Deny Logon Locally 策略,这条策略需要链接到客户端所在的OU。

    Regards,

    Yan Li


    Regards, Yan Li

    • 已标记为答案 mbm2011 2014年2月25日 11:40
    2014年2月21日 2:17
    版主
  • 主要用于一个比较粗放型的域,管理员密码可能难以严格保密。

    所以希望能限制一下登录电脑,免得谁有管理员密码都能登录,而且在非DC上登录。

    我再研究一下Deny Logon Locally,谢谢。

    2014年2月22日 6:21
  • 1,域管理员属性中有一个登录到,选择添加只登录到域内服务器的计算机名

    2,在加入域的计算机本地管理员组 删除Domain Admins

    2015年4月2日 2:47