通常有四个办法来解决或者说变通的解决这个问题。
1、用策略禁止本地登陆。可以建立一个ou,然后将需要控制的计算机账户放置其中,然后在此ou上设置策略,在计算机安全策略中直接指定 禁止本地登陆 。但是这么做有个问题,我们设想一个场景:如果客户端套用到这个策略,碰巧当前计算机网络不可用,一旦系统出现问题,那么就连本地管理员也无法进行登陆,此时Help Desk不就头疼了吗?
2、限制本地群组。通常来说,最好的做法就是这个方法。可以手动删除所有本地账户(内置的账户常规方法是不能删除的);然后清理本地管理员群组中的账户,至少保留内置系统管理员及Domain admins;最后统一修改本地管理员账户密码。这样用户没有本地账户,就只能登陆到域。当然这个方法不适合大规模部署,那么可以通过策略的方式限制 允许本地登陆的账户或群组,也可以限制本地群组中的账户
3、修改注册表自动登陆。具体的参数修改情参考 http://support.microsoft.com/kb/315231/zh-cn ,不过记得用户名要用 username@domain.com 的格式啊。这种做法呢,只是表面上的解决;) 1)用户登陆或者注销的时候按住 shift键就可以使用其他账户了。2)任何能接触计算机的人都可以登陆了,不安全。所以这种方法不推荐。
4、屏蔽登陆对话框中本地选项。其实登陆的那个窗口就是这个MSGINA,如果当前网域中的Client是Winxp(注意,win2k是不允许自定义msgina的),那么可以定制这个DLL,然后通过策略将这个DLL利用计算机策略发布出去,能让登陆界面更符合企业的需求。
当然以上这四个办法都无法从根本上,避免用户逃避域ad管制的问题。剩下的活都需要靠企业安全策略去管理