如何強制群組中的電腦作AD驗證？

如何強制群組中的電腦作AD驗證？
到iT邦幫忙

Q achung315（iT邦初學者10級）發問：
公司的主管習慣透過工作群組存取伺服器上的資料，但這樣在資料管理上會有問題，因此要怎麼樣才能做到只有用AD帳號登入，才能存取資料，如果從工作群組下想存取，就需要驗證是否在網域裡。

A aesop（iT邦初學者9級）：
如果情況發生在我們公司，我會將它們的電腦加入網域，然後設定本機使用Administrator群組的權限。

ufgeorge（iT邦初學者10級）：
電腦加入AD跟使用者登入網域是兩件事情。電腦加入AD，可以讓AD網域管理員擁有那臺電腦的管理權限，例如對電腦進行掃描漏洞、派送更新檔等管理面的事情。

電腦即使加入AD了，使用者仍然可以選擇要以AD帳號登入，還是以本機帳號登入。 以上說明可以對老闆解釋，進而要求他們登入AD帳號，因為並不會影響他們日常工作，降低你後續管理的阻礙。

如果要強制，似乎從系統面不容易，但是提供給你一個方式參考。把電腦的Administrator帳號更名，建立一個假的Administrator帳號，但不隸屬Administrators群組，混淆使用者（也混淆有心人士）。當然這不是不能改，當AD user是電腦的管理員群組，他一樣可以改，只是我覺得使用者登入AD已經有最高權限，應該也就沒有必要了。

tom6507（iT邦高手1級）：
你可以利用關閉「Computer Browser」系統服務，來達到「無法訪問網域所有電腦」的效果。

1.到微軟下載PsTools，將其中的「psservice.exe」複製到那些你想要鎖定的電腦的目錄內（例如：C:\WINDOWS\system32）

2.然後利用該電腦的本機原則（gpedit.msc）設定「電腦設定」、「指令碼」、「啟動/關機」的啟動中，加入一個批次檔，內容如下（請自行修改電腦名稱及帳號、密碼）： psservice \Computer -u Username -p Password setconfig "Computer Browser" disabled

3.然後寫個批次檔給網域的帳號，於啟動時執行（Documents and Settings） psservice \Computer -u Username -p Password setconfig "Computer Browser" auto