Mas*_*imo 5 login active-directory domain
我需要在两个 Active Directory 域之间创建双向信任。但管理层担心用户在 Windows 登录屏幕的下拉列表中看到另一个域名时会感到困惑(他们中的许多人使用 Windows XP),并且由于选择了错误的域,服务台会要求登录失败会暴涨。此外,这两个域名非常相似,增加了可能的用户混淆。
有没有办法从 Windows 登录屏幕的下拉列表中隐藏受信任的域?
有,是的(有点),但在我告诉您我知道的方法之前,让我建议解决此问题的更安全方法是使用组策略强制用户使用默认域- 因此默认情况下,他们登录到您指定的域,而不必担心域下拉列表。
无论如何,要删除下拉列表,这将强制用户使用完整的 UPN(用户主体名称):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinlogonDWORD的NoDomainUIDWORD为1机器启动时,登录屏幕将不再显示域的下拉列表,用户需要输入完整的 UPN 才能登录。
显然,由于这只是注册表更改,您可以通过 GPO 或 GPP 将其推送到您的所有计算机,而不是手动进行。
编辑:为了回应@Massimo 对更明确要求的评论,我发现了这个 Technet 线程,它建议将此 KB 中的错误作为一种解决方法。
基本上,由于Netlogon.ftl文件没有被winlogon进程打开的适当权限,因此无法显示受信任域的列表,导致只显示机器/用户所属的域。
根据快速测试,这似乎可以在 2003 FL 森林中的 XP 客户端(全部在我的笔记本电脑上的实验室环境中虚拟化)上运行。我目前无法进行更广泛的测试,但是如果其他人可以并报告它是否适用于较新的操作系统或在不同的环境中,我会非常好奇。
使用这样的错误必须是我做过的最黑客的事情,并且非常好奇地想知道在其他环境中的情况如何。
| 归档时间: |
|
| 查看次数: |
6456 次 |
| 最近记录: |