这是一个创建于 1100 天前的主题,其中的信息可能已经有所发展或是发生改变。
有熟悉 AD 域控的 V2er 吗。 最近遇到了一个问题需要通过 AD 域的组策略来禁用计算机的本地账户。 请问该如何实现?
 | 1 geelaw 2022-12-13 15:27:40 +08:00 via iPhone  1 感觉会带来很多意料之外的效果,有些服务例如 IIS 是需要本地用户的,然后 Windows 还会管理一个叫做 defaultuser 的用户。 一种思路是禁止交互式登录(会阻止 CreateProcessWithLogon 、以及交互式 LogonUser )。 |
 | 2 zzzzxxxxxx468 2022-12-13 15:34:27 +08:00 在打开的组策略管理编辑器里依次打开计算机配置--策略--Windows 设置--安全设置--本地策略--用户权限分配--拒绝本地登录 |
 | 3 SgtPepper 2022-12-13 15:45:25 +08:00 1 1.逻辑不太对,你 IT 发出去的电脑加域且 administrator 密码不告诉用户的话,用户本来就没通过本地账户登录 2.如果是后加域,那加域的时候把本地账户禁用掉 2.要用 gpo 的话,在 gpo editor\computer configuration\preference\control panel settings\local user and groups\,新建一个 group ,group name 选择“users (built-in)”勾上“delete all member users”,可以先看下本地 group 里面有什么乱七八糟的服务依赖系统账户,把这些加到这个策略的“members”中;那么最终会删除本地 Users 组中除 members 中你添加的所有用户 |
| 4 SgtPepper 2022-12-13 15:50:05 +08:00 忘了说如果用上面这个办法,这个 members 里必须要添加 domain users 这个组,否则你域账户也没法登喽 |
 | 5 MSIAM OP @zzzzxxxxxx468 这个东西我试过了,它的效果并不是禁止本地用户组登陆,而是禁止指定用户在本地终端登陆。只允许远程登陆。 |
 | 6 cjpjxjx 2022-12-13 15:56:03 +08:00 via iPhone 本地安全策略有一个“允许本地登录”,里面全部删除就登录不了了 |
| 7 MSIAM OP @SgtPepper 我大概理解了,意思就是通过建立一个用户组的形式,把所有服务相关的组归类到这个组里面,然后勾选删除非此组的所有用户。是吗?这样的话,Administrator 和 Guest ,还有 System 这种账户也需要添加进来吗? |
 | 8 lzk800 2022-12-13 15:59:56 +08:00 域控也就是 DC 是没有本地账户也就是 Sam 数据库的…… |
| 10 MSIAM OP @lzk800 我的想法是类似于在 Login 的时候。提示禁止非域用户登录之类的,这样就不需要获取本地的数据库只需要判断是否为本域中的用户就行了。 |
| 12 lzk800 2022-12-13 16:10:39 +08:00 @MSIAM 组策略里面是有对本地账户进行操作的相关策略,按照你们装系统时候的用户名,批量修改密码即可。 至于你的想法,基本上无法实现,因为微软没做这样的…… |
| 14 MSIAM OP |
| 16 geelaw 2022-12-13 16:28:38 +08:00 @MSIAM 只要策略不要影响你希望使用的账户就行了。你的标题和正文意思完全不同只允许域用户登录,不代表本地账户就要被禁用,请想好到底要做什么。 如果要禁用账户,可以设置每次开机执行一个 PowerShell 脚本,这个脚本禁用需要禁用的本地用户。 要禁止批处理,使用 Deny logon as a batch job 。 要禁止服务,使用 Deny logon as a service 。 要禁止本地交互式登录(包括拒绝 Run as different user 、拒绝从欢迎屏幕登录),使用 Deny logon locally 。 要禁止远程桌面登录,使用 Deny logon through Remote Desktop Services 。 你可以先用一个本地账户测试效果,然后再把组加进去。 #1 更正,Windows 会管理一个叫做 DefaultAccount 的用户,还有 WDAGUtilityAccount 。 |
| 17 MSIAM OP @geelaw 多谢,这个问题我似乎也发现了。仔细想了一下我的目的应该只是仅允许用户通过受管理的 AD 域账户登陆计算机。结合各位的回复,我还想到了是否可以通过使用允许通过本地登陆的这个策略来进行白名单管理。仅存在于指定组中的用户才可以进行本地登录。 |
 | 18 min 2022-12-13 18:29:51 +08:00 本地账户管理员不建,怎么会有? 密码不给用户,怎么可能登得上来? |
 | 19 passall 2022-12-13 21:29:27 +08:00 公司的实际情况是:本地管理员帐号还在(密码自动修改),用户使用没管理员权限的 AD 帐号登录电脑,硬盘进行 Bitlocker 防止管理员密码的破解。 |
 | 20 germain 2022-12-13 22:24:54 +08:00 via iPhone LAPS |
 | 22 yanqian 2022-12-14 11:55:35 +08:00 via Android 我的第一反应也是用户没有本地账号如何登入,看到后面了解了,问题的背景应该是原来没有怎么管理,现在想要转为只允许 AD 账号登入。所有类似问题都有一个默认要求,就是先要取消用户管理员权限,即讨论的环境中用户都是不知道本地管理员账号密码的,他的 AD 账号也都没有本地管理员权限,如果这一点无法满足,那么永远没有答案。 假设管理员权限管控的问题已经解决,那么前面很多人已经回答了如何限制只允许 AD 账号登入的做法,比如 @cjpjxjx 说的通过本地安全性策略设置“允许本地登入”这项即可实现你要的效果,你可以移除默认的 users 组,换成 domain users 或类似的某个域用户组,确认其它组里面没有本地用户即可,如果前面已经做到 administrators 组里面没有本地用户,那应该就没什么问题了。 |
Select Language