现在很多网络都已经实现了域管理,在默认情况下,普通域用户是能够登录任何客户端系统的,有些人就可能登录别人的计算机看到一些隐私信息或机密信息,有什么办法让域用户只能登录指定的计算机呢?比如张三只能登录他自己日常使用的计算机?
其实,只要在“AD用户与计算机”管理界面中双击相应的用户,打开用户“属性”窗口,切换到“账户”标签,点下面的“登录到”按钮,选中“下列计算机”,并添加要登录的计算机名即可,如图1所示,一般是添加系统的Netbios名,且计算机名不能超过15个字母。如果只是为个别用户绑定计算机就这样操作,那如果要为整个域中成百上千的用户绑定又怎么办呢?还是这样办?如果还是这样,那就没有本文产生的必要了。
你也一定想到了,在这么多用户的前提下,只有通过批处理或程序的办法实现绑定。如果用程序的话,办法又不是每个人都会的,下面就讲一种大家都会,通俗易做的办法,让每个人都能操作。
当然,绑定还是得有前提条件的,计算机命名要规范,如用户名为五位职工号,而计算机名则为“公司名缩写-工号”,这样才知道该怎么绑定。话不多说,下面介绍绑定办法,请先在域控制器上安装Windows 2003光盘上的Support工具。
第一步:导出所有用户及相关属性(注意下面是一行)。
csvde -f csvde.ldf -d "ou=dky users,dc=dky,dc=cqep,dc=com,dc=cn" -r "(objectclass=user)" -l dn,objectClass, displayName,sAMAccountName
我这里域是dky.cqep.com.cn,用户在组织单元dky users下,请用自己的参数替换,后面的命令也是如此。
第二步:打开csvde.ldf,用“#”替换掉“"”(双引号)和“',”(单引号和逗号),这样以“#”号分列,全部替换后请保存,如图2所示。
然后执行“for /f "skip=2 tokens=1-3 delims=#" %a in (csvde.ldf) do (dsmod user "%a" -office dky-%c)”,指定办公室的值。修改之后随便点击一个用户,在办公室属性里就会有如图3所示的显示。如果要绑定多台计算机(某些使用域进行身份验证的应用程序可能会要求绑定特别的服务器,如要owa方式访问exchange服务器时,需要绑定exchange客户端访问服务器角色),请在“-office”后面添加更多值,如“-office dky-%c,dky-dc1,dky-server1”。关于for命令的详细解释,输入命令“for /?”即可查看。
第三步:导出修改了办公室值的用户到ldie.ldf文档,具体如下:
ldifde -f ldie.ldf -d "ou=dky users,dc=dky,dc=cqep,dc=com,dc=cn " -r "(objectclass=user)" -l codepage,userworkstations
第四步,复制ldie.ldf的内容在Word中操作,主要是进行一系列替换操作,Word的替换功能很强大,不但可以查找替换一般字符,还可以查找替换一些隐藏字符,如段落标记等。
首先是查找“changetype: add”,替换为“changetype:modidy^preplace:userworkstations”,注意字符“^p”表示段落标记。查找的内容请直接从文档中复制,以免漏掉某些特殊字符。接着把“physicaldeliveryofficename”替换为“userworkstations”。最后把“codepage:0”替换为“-”。
第五步,把Word里修改后的内容复制到记事本,另存为in.txt。
第六步,在域控制器执行导入“ldiedf –i –f d:in.txt”,此命令将执行绑定。在绑定完成之后,建议进入图1的窗口随机检查一下绑定是否与用户匹配。
最后建议,此绑定操作之后,域用户就只能登录到绑定的计算机,所以建议先绑定一个部门用户,观察一周后,如无问题,再大量绑定。
转自藏锋者网络安全:限定域用户登录指定计算机-网络安全解决方
新闻热点
疑难解答