大家都知道，Windows活動目錄中，默認情況下，域用戶可以在任意域計算機上登陸。哪么如何阻止這種現(xiàn)象發(fā)生呢？

常見的方法有在ADUC中設置用戶屬性中的登陸到，指定他能夠登陸到的計算機。還有就是在客戶端組策略的安全設置|本地策略|用戶權限指派|“在本地登陸”設置允許在該計算機上登陸的用戶和組。還有就是并發(fā)登陸，這里我們不討論這個。微軟有一個limitlogon工具，沒怎么用過。至少我下下來我不知道從哪里下手。似乎這些方法都有一個點，需要手動一個一個的去設置用戶的登陸屬性，這對于大型環(huán)境，會打來很大的工作量。為此，我提出下面這個方法，主要思想創(chuàng)建一條域組策略的是將在該計算機上登陸最多的用戶添加到“在本地登陸”中去。但是不同的機器又不同的用戶，如何解決這個問題呢。我的處理方法是在每個客戶端添加一個本地用戶組，在策略“在本地登陸”中，將一個組添進去，將登陸客戶端機器最多的用戶添加到這個組中去。創(chuàng)建本地組和添加用戶到組是可以采用腳本來實現(xiàn)的，從而解決了逐個設置的麻煩。

本人腳本不是很熟，很多是參照其他的腳本寫的，也許有的地方不是很***。

一、創(chuàng)建本地組

有兩種方式，一種BAT腳本，一種VBS腳本，將腳本作為啟動腳本。

    
1、BAT方式
net localgroup LogonUser /add /comment:允許本地登組
 
2、VBS
strComputer = "."
Set objComputer = GetObject("WinNT://" & strComputer & ",computer")
Set objGroup = objComputer.Create("group", "LogonUser")
objGroup.SetInfo

二、找出在客戶端登陸最多的用戶。

誰的機器，一般情況下當然是誰使用誰登陸的最多。哪么如何找出這個用戶呢？登陸登陸，對了，審核。哪么我們得在域中的策略中將登陸成功審核開啟。我們只需要檢索誰登陸成功審核日志最多。首先***個要解決的問題就是，我如何獲得在這臺機器上登陸過得域賬戶？

每一個域賬戶登陸后，都會在注冊表SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList寫入一個記錄，下面的子項是他們的SID。哪么我只需要讀出這些SID就可以了。在反過來通過SID查處用戶。

   
Set oReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_
                strComputer & "\root\default:StdRegProv")
strKeyPath = "SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList"
oReg.EnumKey HKEY_LOCAL_MACHINE, strKeyPath, arrSubKeys
For Each subkey In arrSubKeys
If left(subkey,40) = "S-1-5-21-3417139075-3398302879-647143828" Then
'比較SID，只統(tǒng)計域帳戶，上面這一行是域用戶SID的前面一段，應該屬于域ID。
 
Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")
Set colItems = objWMIService.ExecQuery _
("Select * from Win32_UserAccount Where LocalAccount='False' And SID= '" & subkey & "'")
 
For Each objItem in colItems
LogonTimes=CountLogon("cotoso\\" & objitem.Name) 
'函數(shù)CountLogon,統(tǒng)計事件日志\安全 中成功審核的事件次數(shù)

     
Function CountLogon(Username)
strComputer = "."
Set objWMIService = GetObject("winmgmts:{(Security)}\\" & _ strComputer & "\root\cimv2")
Set colEvents = objWMIService.ExecQuery
      _ ("SELECT * FROM Win32_NTLogEvent WHERE LogFile = 'Security' AND " & _
         "EventCode = 528 AND User ='" & username & "'")  ‘統(tǒng)計事件528的用戶
CountLogon=colEvents.Count end Function

【編輯推薦】

1. IT領域25大鮮為人知秘密曝光：Windows非原名
2. 007.確保windows安全性
3. IT領域25大鮮為人知秘密曝光：Windows非原名