萬盛學電腦網

 萬盛學電腦網 >> 電腦入門 >> 限定域用戶登錄指定計算機 電腦技術吧

限定域用戶登錄指定計算機 電腦技術吧

現在很多網絡都已經實現了域管理,在默認情況下,普通域用戶是能夠登錄任何客戶端系統的,有些人就可能登錄別人的計算機看到一些隱私信息或機密信息,有什麼辦法讓域用戶只能登錄指定的計算機呢?比如張三只能登錄他自己日常使用的計算機?
其實,只要在“AD用戶與計算機”管理界面中雙擊相應的用戶,打開用戶“屬性”窗口,切換到“賬戶”標簽,點下面的“登錄到”按鈕,選中“下列計算機”,並添加要登錄的計算機名即可,如圖1所示,一般是添加系統的Netbios名,且計算機名不能超過15個字母。如果只是為個別用戶綁定計算機就這樣操作,那如果要為整個域中成百上千的用戶綁定又怎麼辦呢?還是這樣辦?如果還是這樣,那就沒有本文產生的必要了。

你也一定想到了,在這麼多用戶的前提下,只有通過批處理或程序的辦法實現綁定。如果用程序的話,辦法又不是每個人都會的,下面就講一種大家都會,通俗易做的辦法,讓每個人都能操作。
當然,綁定還是得有前提條件的,計算機命名要規范,如用戶名為五位職工號,而計算機名則為“公司名縮寫-工號”,這樣才知道該怎麼綁定。話不多說,下面介紹綁定辦法,請先在域控制器上安裝Windows 2003光盤上的Support工具。
第一步:導出所有用戶及相關屬性(注意下面是一行)。
csvde -f csvde.ldf  -d "ou=dky users,dc=dky,dc=cqep,dc=com,dc=cn" -r "(objectclass=user)" -l dn,objectClass, displayName,sAMAccountName
我這裡域是dky.cqep.com.cn,用戶在組織單元dky users下,請用自己的參數替換,後面的命令也是如此。
第二步:打開csvde.ldf,用“#”替換掉“"”(雙引號)和“',”(單引號和逗號),這樣以“#”號分列,全部替換後請保存,如圖2所示。

然後執行“for /f "skip=2 tokens=1-3 delims=#" %a in (csvde.ldf) do (dsmod user "%a" -office dky-%c)”,指定辦公室的值。修改之後隨便點擊一個用戶,在辦公室屬性裡就會有如圖3所示的顯示。如果要綁定多台計算機(某些使用域進行身份驗證的應用程序可能會要求綁定特別的服務器,如要owa方式訪問exchange服務器時,需要綁定exchange客戶端訪問服務器角色),請在“-office”後面添加更多值,如“-office dky-%c,dky-dc1,dky-server1”。關於for命令的詳細解釋,輸入命令“for /?”即可查看。

第三步:導出修改了辦公室值的用戶到ldie.ldf文檔,具體如下:
ldifde -f ldie.ldf  -d "ou=dky users,dc=dky,dc=cqep,dc=com,dc=cn " -r "(objectclass=user)" -l codepage,userworkstations
第四步,復制ldie.ldf的內容在Word中操作,主要是進行一系列替換操作,Word的替換功能很強大,不但可以查找替換一般字符,還可以查找替換一些隱藏字符,如段落標記等。
首先是查找“changetype: add”,替換為“changetype:modidy^preplace:userworkstations”,注意字符“^p”表示段落標記。查找的內容請直接從文檔中復制,以免漏掉某些特殊字符。接著把“physicaldeliveryofficename”替換為“userworkstations”。最後把“codepage:0”替換為“-”。
第五步,把Word裡修改後的內容復制到記事本,另存為in.txt。
第六步,在域控制器執行導入“ldiedf –i –f d:in.txt”,此命令將執行綁定。在綁定完成之後,建議進入圖1的窗口隨機檢查一下綁定是否與用戶匹配。
最後建議,此綁定操作之後,域用戶就只能登錄到綁定的計算機,所以建議先綁定一個部門用戶,觀察一周後,如無問題,再大量綁定。
轉自藏鋒者網絡安全:限定域用戶登錄指定計算機-網絡安全解決方


 

    copyright © 萬盛學電腦網 all rights reserved