限制域用户各自登录自己的计算机

1、首先创建一个GPO，在本地策略——用户权限分配——允许从本地登录，删除Users。
默认Domain Users属于本地Users组，故删除之。因为默认允许administrators、Power Users、Backup Operators、Users具备本地登录权限。

2、然后创建一个脚本，放入该GPO的计算机登录脚本中。脚本内容如下：

On Error Resume Next

strComputer = "."
Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")
Set colComputers = objWMIService.ExecQuery("Select * from Win32_ComputerSystem")

For Each objComputer in colComputers
 strPCname = UCase(objComputer.Name)
Next

'根据计算机名选择要添加的用户
Select Case strPCName
 Case "PC-A"
  strUser = "UserA"
 Case "PC-B"
  strUser = "UserB"
 Case "PC-C"
  strUser = "UserC"
 Case "PC-D"
  strUser = "UserD"
End Select

'定位到Power Users组
Set objGroup = GetObject("WinNT://" & strPCname & "/Power Users,group")

'将该用户放入Power Users组
strusername = chr(34) & "WinNT://YangYe/" & strUser & chr(34)
Set objUser = GetObject(strusername)
objGroup.Add(objUser.ADSPath)

3.、通过组策略发布该GPO

注：自行修改其中参数，数值。