僅能從網域登入，該如何設定？

僅能從網域登入，該如何設定？
到iT邦幫忙

static314（iT邦初學者8級）發問：
電腦已經加入網域，希望進一步限制使用者只能使用網域登入，而不能從本機登入，請問該如何設定？

tom6507（iT邦高手1級）：
從GPO編輯器中，選「電腦設定」、「Windows設定」、「安全性設定」、「本機原則」、「使用者權利指派」中，就有「拒絕本機登入」的原則了。

這個功能可以管控網域下所有電腦的設定，不管是伺服器還是使用者的電腦都一樣，只要被放在這個組織單位下的所有電腦，都無法從本機登入。

萬一設定之後，使用者還是可以從本機登入，請查看GPO最上面的「允許本機登入」設定是否啟用，如果是，就會影響拒絕本機登入功能。另外，必須設定「使用者、群組或內建安全性原則」來拒絕登入，如果選用「Domain Computer」，它只能限定帳號而無法限定電腦。

smalllun（iT邦初學者10級）：
除了tom6507提供的作法，我會將本機的帳號全部刪除，只剩下Administrator帳號，而且改掉密碼。這樣的做法，是考量當使用者的電腦有問題時，需要本機帳號來維護。