默认情况下，当我们创建新的Active Directory用户时，它们会自动添加到"域用户"组中。反过来，默认情况下，将域用户组加入AD域后，会将其添加到域工作站上的本地用户组。这意味着任何域用户都可以登录到域网络中的任何计算机。在本文中，请仔细考虑如何将用户登录限制为域计算机的主要方法。

限制用户帐户仅登录到特定的AD计算机

在小型域中，可以在Active Directory中每个用户帐户的属性中将用户登录限制为域计算机。例如，我们只允许特定用户登录到他的计算机。去做吧：

• 通过运行dsa.msc命令来运行ADUC管理单元(Active Directory用户和计算机)。
• 使用AD搜索，找到要限制访问的用户帐户并打开其属性；
• 转到"帐户"标签，然后单击"登录到"按钮。
• 如我们所见，允许用户登录到所有域计算机(该用户可以登录到：所有计算机)。要只允许用户访问特定的计算机，请选择"以下计算机"选项，并添加用户可以登录的计算机的名称。我们必须指定完整的NetBIOS或者DNS计算机名称(不要使用通配符)。该值不区分大小写。
• 我们最多可以在此列表中添加64台计算机。如果我们尝试添加第65台计算机，则会出现以下错误消息：

This property is limited to 64 values. You must remove some of the existing values before you can add new ones

;

• 保存更改。现在，用户只能登录到指定的AD计算机。

如何在PowerShell中修改LogonWorkstations属性？

手动将用户登录限制为域计算机是非常麻烦的。我们可以使用PowerShell自动执行此操作。允许用户登录的计算机列表存储在AD用户属性" LogonWorkstations"中。例如，我们的任务是允许特定用户仅登录到名称在文本文件computers.csv中列出的计算机。

该脚本如下所示：

Import-Module ActiveDirectory $ADusername = ‘asmith’ $complist = Import-Csv -Path "C:\PS\computers.csv" | ForEach-Object {$\_.NetBIOSName} $comparray = $complist -join "," Set-ADUser -Identity $ADusername -LogonWorkstations $comparray Clear-Variable comparray  

使用Get-ADUser cmdlet，可以显示允许用户登录的计算机的列表。

Get-ADUser $ADusername -Properties LogonWorkstations | Format-List Name, LogonWorkstations

或者，我们可以在ADUC控制台中查看计算机列表。

要将新的计算机名称添加到列表，请使用以下命令：

$Wks = (Get-ADUser asmith-Properties LogonWorkstations).LogonWorkstations $Wks += ",man-b2-wks2" Set-ADUser asmith -LogonWorkstations $Wks  

如何限制用户使用GPO登录到AD工作站？

在大域中，由于某些限制和缺乏灵活性，使用LogonWorkstations用户属性限制用户对计算机的访问是不可行的。通常，为了防止用户登录到某些计算机，使用组策略。

我们可以使用"受限制的组"策略(Windows设置->安全设置)来限制本地组"用户"中的用户列表，但请考虑其他选项。

GPO部分的"计算机配置->策略->安全设置->本地策略->用户权限分配"中有两个组策略：

• "本地拒绝登录"允许将本地登录限制为特定用户或者组的工作站；
• "允许本地登录"包含允许本地登录计算机的用户列表。

例如，为防止特定组的用户登录到特定Active Directory OU中的计算机，我们可以创建一个单独的用户组，将其添加到"拒绝本地登录"策略中，然后将该策略链接到包含我们所要计算机的OU想要限制登录。

在大型AD域中，可以结合使用这些策略。例如，我们要限制用户登录其他OU中的计算机。为此，请在每个OU中创建一个安全组，并将所有OU用户添加到其中。

提示。在以下脚本的帮助下，可以使用Get-ADUser和Add-ADGroupMember PowerShell cmdlet将特定OU的用户自动添加到安全组：

Import-module ActiveDirectory $rootOU = "OU=Users,OU=UK,DC=corp,DC=theitroad,DC=com" $group = "corp\lon-users" Get-ADUser -SearchBase $rootOu -Filter \* | ForEach-Object {Add-ADGroupMember -Identity $group -Members $\_ }  

然后启用"允许本地登录"策略，将其添加到该组(以及不同的管理员组：域管理员，工作站管理员等)，然后将该策略分配给具有计算机的OU。因此，我们将只允许特定的OU用户登录到计算机。

如果来自其他OU(不允许其在本地登录)的用户尝试登录计算机，则会出现一个带有以下消息的窗口：

我们无法登录，因为此计算机上不允许使用我们使用的登录方法。请与网络管理员联系以获取更多信息。

或者：

我们尝试使用的登录方法是不允许的。有关更多信息，请与网络管理员联系。

以下是有关登录限制策略的一些重要说明：

• 不要使用这些策略来限制对服务器或者AD域控制器的访问；如何允许非管理员RDP访问域控制器。
• 不要通过内置的GPO启用这些策略：默认域策略或者默认域控制器策略；默认策略。
• 限制性政策具有更高的优先级；
• 不要忘记可用于在计算机(服务器)上运行服务的服务帐户(包括gMSA)；
• 不要使用限制本地访问整个域的策略。仅将它们链接到特定的OU。