限定域用戶登錄指定計算機 電腦技術吧

現在很多網絡都已經實現了域管理，在默認情況下，普通域用戶是能夠登錄任何客戶端系統的，有些人就可能登錄別人的計算機看到一些隱私信息或機密信息，有什麼辦法讓域用戶只能登錄指定的計算機呢？比如張三只能登錄他自己日常使用的計算機？
其實，只要在“AD用戶與計算機”管理界面中雙擊相應的用戶，打開用戶“屬性”窗口，切換到“賬戶”標簽，點下面的“登錄到”按鈕，選中“下列計算機”，並添加要登錄的計算機名即可，如圖1所示，一般是添加系統的Netbios名，且計算機名不能超過15個字母。如果只是為個別用戶綁定計算機就這樣操作，那如果要為整個域中成百上千的用戶綁定又怎麼辦呢？還是這樣辦？如果還是這樣，那就沒有本文產生的必要了。

你也一定想到了，在這麼多用戶的前提下，只有通過批處理或程序的辦法實現綁定。如果用程序的話，辦法又不是每個人都會的，下面就講一種大家都會，通俗易做的辦法，讓每個人都能操作。
當然，綁定還是得有前提條件的，計算機命名要規范，如用戶名為五位職工號，而計算機名則為“公司名縮寫-工號”，這樣才知道該怎麼綁定。話不多說，下面介紹綁定辦法，請先在域控制器上安裝Windows 2003光盤上的Support工具。
第一步：導出所有用戶及相關屬性（注意下面是一行）。
csvde -f csvde.ldf  -d "ou=dky users,dc=dky,dc=cqep,dc=com,dc=cn" -r "(objectclass=user)" -l　dn,objectClass, displayName,sAMAccountName
我這裡域是dky.cqep.com.cn，用戶在組織單元dky users下，請用自己的參數替換，後面的命令也是如此。
第二步：打開csvde.ldf，用“#”替換掉“"”（雙引號）和“',”（單引號和逗號），這樣以“#”號分列，全部替換後請保存，如圖2所示。

然後執行“for /f "skip=2 tokens=1-3 delims=#" %a in (csvde.ldf) do (dsmod user "%a" -office dky-%c)”，指定辦公室的值。修改之後隨便點擊一個用戶，在辦公室屬性裡就會有如圖3所示的顯示。如果要綁定多台計算機（某些使用域進行身份驗證的應用程序可能會要求綁定特別的服務器，如要owa方式訪問exchange服務器時，需要綁定exchange客戶端訪問服務器角色），請在“-office”後面添加更多值，如“-office dky-%c,dky-dc1,dky-server1”。關於for命令的詳細解釋，輸入命令“for /?”即可查看。

第三步：導出修改了辦公室值的用戶到ldie.ldf文檔，具體如下：
ldifde -f ldie.ldf  -d "ou=dky users,dc=dky,dc=cqep,dc=com,dc=cn " -r "(objectclass=user)" -l codepage,userworkstations
第四步，復制ldie.ldf的內容在Word中操作，主要是進行一系列替換操作，Word的替換功能很強大，不但可以查找替換一般字符，還可以查找替換一些隱藏字符，如段落標記等。
首先是查找“changetype: add”，替換為“changetype:modidy^preplace:userworkstations”，注意字符“^p”表示段落標記。查找的內容請直接從文檔中復制，以免漏掉某些特殊字符。接著把“physicaldeliveryofficename”替換為“userworkstations”。最後把“codepage:0”替換為“-”。
第五步，把Word裡修改後的內容復制到記事本，另存為in.txt。
第六步，在域控制器執行導入“ldiedf –i –f d:in.txt”，此命令將執行綁定。在綁定完成之後，建議進入圖1的窗口隨機檢查一下綁定是否與用戶匹配。
最後建議，此綁定操作之後，域用戶就只能登錄到綁定的計算機，所以建議先綁定一個部門用戶，觀察一周後，如無問題，再大量綁定。
轉自藏鋒者網絡安全：限定域用戶登錄指定計算機-網絡安全解決方