熟悉微軟AD環境的人都知道,在默認情況下,使用任意一個域帳戶是可以登錄除DC(域控)以外的任何域成員計算機的,這就給我們的企業信息安全帶了一個很 大的隱患。試想一下,如果一個不懷好意的員工利用這個疏漏來登錄其他員工或管理人員的電腦並竊取企業的機密文件的話,可能會給企業造成重大損失,而且這種 損失對企業來說很可能是致命的,為了避免這種悲劇的發生,可以采取以下幾種方法來為域用戶指定允許其登錄的計算機。
方法一
假設我們只允許域用戶登錄自己的電腦,而不能登錄其它電腦。當然這種做好並不是太靈活,但這種方法卻是最有效的。
在“開始運行”中輸入dsa.msc打開ADUC(活動目錄用戶和計算機),選擇要操作的目標用戶,在用戶屬性窗口中,切換到“帳戶”選項卡,並選擇“登錄到”。
在“Logon Workstaions”窗口中的“用戶可以登錄到”區域選擇“下列所有計算機”,並將該域帳戶所使用的計算機名加入到計算機列表裡。如下圖
建議:
考慮到目前很多的企業辦公平台如,OA、wiki等都支持ldap認證,所以很多IT管理人員為了節省管理開銷,而設置使用域帳戶來登錄這些平台,如果是 這種情形的話,強烈建議把DC(域控)的計算機名也添加到上圖的計算機列表中,這樣就可以避免無法登錄其它辦公平台的問題出現。
當然可能有朋友會問,這樣做是否降低了安全性?其實完全可以放心,因為在域控制器安全策略中,是拒絕普通域用戶本地登錄的,所以這些普通用戶是無法本地登錄DC(域控)的。