如何能做到禁止域内计算机的本地登陆？

问题：1。怎么可以禁止登陆本地计算机？有没有方法可以使登陆框中的登陆到按钮无效？
      2。怎么样对域内所有机器的本地管理员统一设定管理员密码？

问题1 : 禁止登陆本地计算机？有没有方法可以使登陆框中的登陆到按钮无效？

在客户端执行下面操作
1. 然后单击 确定 、 开始 ， 键入 regedit , 和 运行 。 
2. 找到并单击以下子项： 
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon
注意 如果在右窗格中, NoDomainUI 条目已存在转到第 5 步。 
3. 在 编辑 菜单, 指向 新建 , 然后单击 DWORD 值 。 
4. 键入 NoDomainUI , 然后按 Enter。 
5. 右击 NoDomainUI 单击 修改 ， 键入 1 , 然后单击 确定 。 
6. 退出注册表编辑器。 
7. 重新启动计算机。 

注意: 
1.以上操作必须在客户端计算机完成
2.通知用户,客户端计算机必须以UPN格式登录到域
UPN 具有结构是类似于下面： 
UserName@MITRealm.CompanyName.com
其中,UserName是域用户名,MITRealm.CompanyName.com是域名

提醒:
因为域用户都是本地管理员组,上述修改注册表的操作,用户也可以将上述DWORD 值改为0或者删除值,完全可行
如何杜绝用户这类逆向操作不在本主题讨论范围之内.
 

问题2 怎么样对域内所有机器的本地管理员统一设定管理员密码？

如第1 回复,首先,应该用 域组策略 的 受限制组 的功能, 限定 本地管理员组的成员
其次,对域内所有机器本地管理员设置统一密码,最简单的方法是 利用 域组策略 开机脚本实现
例如,写一个批处理文件,文件内容是 net user admin pass0rd
这里 Admin是管理员用户名,pass0rd是统一设置的密码,将只有这一行的文件存成
扩展名是cmd的文件.
把这个文件放在域组策略 开机脚本里,加入域的机器会执行这个命令

提醒:
因为域用户都是本地管理员组,用户也可以修改系统,以便不执行上述域组策略,完全可行
还有,这个 cmd 批处理文件,是个文本文件,密码pass0rd是以明文存在
如何杜绝用户这类问题也不在本主题讨论范围之内.

转贴：  www.winmag.com.cn