关于域用户的问题

Posted 2023-04-20

域用户可以在加入域中的计算机里随意的登陆，那公司里的个人电脑只要有域用户的人可以随便登陆看磁盘里的东西，甚至改磁盘里的东西了？
在域控制器中刚建好的用户权限是很低的，就跟本地用户的USER组一样的权限，我试了一下，他们还是可以随便登陆域中的计算机，打开本地磁盘，还有，为什么我关了域服务器，域用户还是可以登陆域？

1，默认情况下域用户可以在域的任意一台电脑上登录，有本地users组的权限

2，下列方法限制用户只能在一台电脑上登陆：
方法1，在每个电脑修改 本地users组只包含一个域用户，不包含domain users组，这样其他普通域用户就不能在这台电脑上登录
方法2，应该可以在域上绑定，但我没做过
方法3，修改本地策略，限制某些用户登陆此电脑

3，关了域控，只要此用户原来在这台电脑上登录过，就可以利用缓存里的信息登陆这台电脑，如果用户没在这台电脑上登陆过，因为现在无法找到域控验证用户信息就没办法在这台电脑上登陆 参考技术A 那不一定，凡是在局域网域内的帐户都属于域用户，域用户是登录到服务器的最基本把条件，是有系统管理员设定的，各个用户可以权限不一样，看管理员给你登陆的用户具有什么权限，如果是超级用户，也就是最高管理员用户登陆，那就什么都能干，一般情况管理员会给administrator用户改名和设置自己的密码，你无法使用，只能用限制了权限的用户登陆域服务器上。本回答被提问者采纳 参考技术B 科学、合理、正确的解决方法是“不要让别的域用户随意登陆”

方法：在每一台加入域的计算机上操作，开始－运行－GPEDIT.MSC－“本地计算机策略”－计算机配置－WINDOWS设置－安全设置－本地策略－用户权利指派－双击“在本地登陆”，删除所有的用户，只添加一个域管理员账户和一个本计算机使用人账户，这样每台电脑都只能由域管理员和它的主人能登陆，而密码可以在域服务器上进行统一管理，这样别人在不知道密码的情况下就不能登陆这台电脑了 参考技术C 网域帐号默认可以在任何客户端电脑上登录，也可以在帐号属性中设定只能登录到哪些电脑。还可以使用第三方软件，如userlock来设定登录电脑。
另，域控关闭以后，客户端电脑登入时是缓存登入。 参考技术D 我也不清楚喔。
随便看看那

参考资料：不好意思

Windows server 2016 / Windows 10关于域管理员帐号权限不足的问题

今天在测试windows server 2016的域创建时，当安装结束之后，发现使用Administrator用户进行操作时，被提示了权限不足这个问题。于是我在百度上查找了一番之后，找到了解决方法。

 

打开 服务器管理器 ---- 工具----本地安全策略-----本地策略-----安全选项------用户帐户控制：用于内置管理员帐户的管理员批准模式

 

另外，发现windows server  2016 在安装完AD域之后，ip设定方面 DNS会自动更改为本地。由于我是根据windows server 2008的操作步骤来的，所以发现了这点更改。