如何強制群組中的電腦作AD驗證？ - iThome

如果情況發生在我們公司，我會將它們的電腦加入網域，然後設定本機使用Administrator群組的權限。

... 如何強制群組中的電腦作AD驗證？ ... Q achung315（iT邦初學者10級）發問 ... 移至主內容 文/iThome | 2009-06-04發表 如何強制群組中的電腦作AD驗證？到iT邦幫忙Qachung315（iT邦初學者10級）發問：公司的主管習慣透過工作群組存取伺服器上的資料，但這樣在資料管理上會有問題，因此要怎麼樣才能做到只有用AD帳號登入，才能存取資料，如果從工作群組下想存取，就需要驗證是否在網域裡。

Aaesop（iT邦初學者9級）：如果情況發生在我們公司，我會將它們的電腦加入網域，然後設定本機使用Administrator群組的權限。

ufgeorge（iT邦初學者10級）：電腦加入AD跟使用者登入網域是兩件事情。

電腦加入AD，可以讓AD網域管理員擁有那臺電腦的管理權限，例如對電腦進行掃描漏洞、派送更新檔等管理面的事情。

電腦即使加入AD了，使用者仍然可以選擇要以AD帳號登入，還是以本機帳號登入。

以上說明可以對老闆解釋，進而要求他們登入AD帳號，因為並不會影響他們日常工作，降低你後續管理的阻礙。

如果要強制，似乎從系統面不容易，但是提供給你一個方式參考。

把電腦的Administrator帳號更名，建立一個假的Administrator帳號，但不隸屬Administrators群組，混淆使用者（也混淆有心人士）。

當然這不是不能改，當ADuser是電腦的管理員群組，他一樣可以改，只是我覺得使用者登入AD已經有最高權限，應該也就沒有必要了。

tom6507（iT邦高手1級）：你可以利用關閉「ComputerBrowser」系統服務，來達到「無法訪問網域所有電腦」的效果。

1.到微軟下載PsTools，將其中的「psservice.exe」複製到那些你想要鎖定的電腦的目錄內（例如：C:\WINDOWS\system32）2.然後利用該電腦的本機原則（gpedit.msc）設定「電腦設定」、「指令碼」、「啟動/關機」的啟動中，加入一個批次檔，內容如下（請自行修改電腦名稱及帳號、密碼）：psservice\Computer-uUsername-pPasswordsetconfig"ComputerBrowser"disabled3.然後寫個批次檔給網域的帳號，於啟動時執行（DocumentsandSettings）psservice\Computer-uUsername-pPasswordsetconfig"ComputerBrowser"auto 熱門新聞 微軟釋出Windows1022H2 2022-10-19 iOS16依然繞過VPN建立連線，洩露用戶資訊 2022-10-18 漢莎航空禁AirTag政策不到一周急轉彎 2022-10-17 Fortinet坦承軟體重大漏洞有多起攻擊，且為數眾多的用戶仍未修補 2022-10-18 25萬名美國陸軍將改用GoogleWorkspace 2022-10-18 政院將修正禁用中國資通產品條例，例外使用需經資安長同意 2022-10-19 荷蘭智取勒索軟體集團Deadbolt，利用比特幣交易空窗獲得逾150個解密金鑰 2022-10-17 研究人員發現幾乎無法偵測到的PowerShell後門程式 2022-10-20 Advertisement 2022iThome鐵人賽 專題報導 2022臺灣資安大會特別報導：人才篇 2022臺灣資安大會特別報導：企業篇 【記憶體「大共享池」時代來臨】CXL崛起！帶動伺服器架構革命 【日本最大電信災情！KDDI事故的三堂課】電信關鍵基礎設施大斷線 iThome2022資安大調查（下） 更多專題報導