限制域账号在指定的计算机上登陆

根据业务需求我们有时需要在某台计算机上禁用指定的用户登陆，可以用组策略完成,这里仍以测试环境为例：

1.先在计算机OU中建立一个OU命名为禁止登陆电脑，可以根据自己的OU结构建立，把所有需要禁止用户登陆的计算机都放入这个OU中

在AD上新建策略reject_logoin

2.新建策略reject_logoin

3.编辑策略：悬着拒绝本地登陆。其实这条组策略的应用非常熟悉，但以前的惯性思维都是将此策略用在AD域控本地安全上，阻止其他域用户登陆AD域控，没想过同样能用到客户端任何一台计算机上（惭愧啊所以要多思考）

4.我这里是禁用所有的域账户登陆这台test计算机，当然你可以利用组的嵌套来限制指定的账户或组来登陆计算机，完后套用到“禁止登陆电脑“OU上再gpupdate /force下。

 

 

5.同样在客户端gpupdate /force下或者重启计算机，如果gpupdate /force不生效就重启计算机。

搞定收工。