其實這個問題，我在技術論壇上專門發(fā)帖請教過很多人，大家的解決方法很多我也沒有一一去試，因為他們寫的解決方案，跟我當時遇到這個問題需要解決的前提是不一樣的。

這兩天閑來無事，竟偶然遇到了解決限制本地登錄的域帳戶的方法

就像可登錄域的所有帳戶都存儲在domain users組里面一樣，所有可登錄本地計算機的域帳戶是保存在本地計算機的users組里面的，打開users的成員一看domain users這個組果然在里面。到此，終于明白為什么所有的域帳戶都可以登錄任意計算機了。

一般而言，域內一些比較重要的計算機是不想任何人都可以登錄的，這樣安全性就沒有了保證。比如財務部門的計算機，只希望個別財務的帳戶能登陸。所以要限制這點，只要把本地計算機users組里面的domain users給刪除掉，加入希望登陸的域帳戶即可起到限制的作用

11月22日，再次和別人討論過這個問題后，很是失望，原來結果是這樣的，我上面寫那個辦法只是在本機上的操作權限，也就是說domain users存在于本地的users組里面只是讓域用戶擁在本地有最低的操作權限而已

請問如何使域用戶只能登陸自己的電腦，不能在其他人的電腦上登陸？limitlogon是否能夠做到這個功能？感覺應該是一個很常用的功能，怎么就不能實現呢？回答：只有在用戶賬戶屬性中設置“登錄到”。這個也只能一個一個賬戶的設置。limitlogon 那是限制一個賬戶只能登錄一次，但不限制登錄到哪臺電腦上。嗯……那么通常來說，有四個方面來闡述這個問題：

其一，我想這可能是中西方一個文化背景的差異。微軟在設計ad的架構的時候是用戶的利益為中心的，也就是說無論任何時候要保障用戶的應用不受到影響，如果將每個用戶賬戶限制只能登錄到哪臺計算機，那么一但一批賬戶在規(guī)定的計算機上登錄遇到問題的時候，用戶短時間內就無法使用其他人的計算機進行工作了。

其二，通常同一個業(yè)務部門，具有相同的業(yè)務特性，該部門內的安全登錄可以這樣設置，讓業(yè)務部門內的用戶組可以在該部門內的所有計算機上登錄。這樣做，可以算是針對上面那種情況，在考慮安全性的前提下的一個折衷方案。

其三，在客戶端本地不要保留關鍵性業(yè)務數據。從原則上來講，企業(yè)是不會為用戶的私人數據承擔安全責任的，客戶端僅是為業(yè)務運作提供的一個工具，所有的業(yè)務數據以及企業(yè)智能財產都應該得到集中保存和審核。如果管理員從it基礎架構上做好了工作，那么就會發(fā)現對于同一業(yè)務部門的用戶來說，沒有必要限制的如此嚴格。當年，國外很多服務器和筆記本硬盤都很小，只分一個區(qū)，就是因為這樣一個考慮。

其四，如果按照微軟客戶端的最佳安全實踐來做，默認狀態(tài)下，domain user是沒有權限查看其他賬戶數據的。----- gnaw0725 您好！

根據我的研究，在組策略上是沒有具體的設置可以禁止域帳號進行漫游登陸。如果您希望指定域用戶只能登陸某臺客戶端的話，建議您執(zhí)行以下操作：

1. 點擊“開始－>運行”并輸入“DSA.MSC” －>打開“Active Directory用戶和計算機”。

2. 右鍵點擊需要進行設置的用戶－>“屬性”－>“帳戶”－>“登陸到”－>“下列計算機”。

3. 添加指定的計算機。

更多信息請查看IT技術專欄