Изменение способа входа в домен - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)

- - Изменение способа входа в домен (http://forum.oszone.net/showthread.php?t=97597)

Изменение способа входа в домен

Я работаю сервисным сотрудником в фирме с несколькими доменными сетями. Сис-админы поставили задачу, на одной из машин, локально изменить способ входа в домен... точнее, чтобы машина заходила под локальной учёткой с ограниченым доступом к сетевым ресурсам. Т.Е., чтобы выбора домена в строке выбора небыло или чтобы отображался только локальный комп... Пароль вводить обязательно нужно!!! Но также нужно, чтобы при необходимости, я смог заходить на эту машину под своим сетевым именем. К примеру, там: domen\praktikant или как то ещё...

Как это можно сделать на этой машине локально? Как сделать это с правами системного администратора находил, а как это сделать на локальной машине так и не нашёл...

попробуйте не domainname\username, а computername\username

Так, а как убрать выбор доменов из строки "Вход в:"???? Или как её вообще убрать? И как потом входить под своим сетевым именем, если мне нужно указывать свой домен???

Как убрать не подскажу, но можно назначить локальных вход конкретным пользователям, скажем domain\Практиканты и pk-103\Органиченные пользователи

Потому как, даже если убрать "вход в", то всегда можно будет зайти как domain\user или user@domain

Такой способ меня вполне устраивает(если прописывать domain\user или user@domain), так как та учётка очень ограничена, а народ не такой уж и просвящённый, чтобы догадаться как влезть под своим сетевым именем. Но конкретнее как его сделать???

gpedit.msc на локальной машине -> конфигурация компьютера -> конфигурация windows -> параметры безопасности -> локальные политики -> назначение прав пользователей -> локальный вход в систему

Тут вписываем локальные или доменные группы (пользователи). Очень удобно применять на компьютеры с ограниченным доступом, такие как компьютеры админов

Ну а второй способ? Чтобы ручками прописывать domain\user или user@domain????

локальный юзер заходит как:

login: имя пользователя
password: пароль
вход в (домен): имя локального компьютера

а под доменной учетной записью при введении domain\user или user@domain Вход в (домен) автоматически недоступно для выбора

polurk
Просто не надо включать компьютер ни в один домен, а оставить в рабочей группе.

сори за офтоп. я правильно понял? сисадмины ставят задачу сервесному сотруднику? .) классно.)

monkkey
А иначе никак нельзя!!! Без включения в домен, не будут отрабатываться некоторые проги... Которые настраиваем не мы...

polurk - ты конечно извени но админы не поставели задачу! они просят тебя реализовать их видение решения проблемы! а ты бы поделился с "коллективным разумом" проблемкой, что их заставило прийти к такой реализации а? возможно есть альтернативное решение.

з.ы. товарищи обратите внимание на то что некоторые из вас просят помоч не в решении проблемы а реализовать ваш вариант решения. этим самым вы неполностью используете "коллективный разум.)" всем надеюсь известно что у каждой математической задачи множество решений но только одно правильное.) а для логических\организационных - множество возможных решений. а вы толкаете народ на реализацию именно вашего решения. ну поделитесть задачкой.) получете варианты - выберете тот что лучше\вам подходит\проще реализовать, потом реализовывайте наздоровье. это я к тому ->

Цитата:

Цитата polurk

monkkey
А иначе никак нельзя!!! »

а мы знаем что за глобальные требования? иначе можно включи в домен. тут помоему только два варианта или машина в домене и создана локальная учетка или машина не в домене и создана одноимённая доменная учётка. все как бы вариатнов нет.

з.з.ы. нет ну если вы считаете я неправ. значит так и есть.

Цитата:

Цитата wertyg

тут помоему только два варианта или машина в домене и создана локальная учетка или машина не в домене и создана одноимённая доменная учётка »

Есть вариант машина в другом домене, и между доменами трасты правильно настроены
Локальные пользователи отсутствуют, администратор заблокирован = войти можно только в домен

Цитата:

Цитата HLT

Есть вариант машина в другом домене »

но в домене? тоесть вариантов всеже два или она в домене или нет. а если трасты настроены то она может быть в любом доступном домене. так?

Цитата:

Цитата wertyg

а если трасты настроены то она может быть в любом доступном домене »

угу
Только геморроя имхо гораздо больше чем вкусностей.

Не совсем понятно - зачем на данной конкретной машине входить локальной учеткой?
Почему нельзя в домене создать аккаунт с зарезанными правами, и логиниться по-нормальному, доменным юзером?

Локальные пользователи вообще должны быть убиты и забыты, как страшный сон.

Цитата:

Цитата HLT

wertyg »

Машина стоит на производстве. Заходят на неё под локальным юзером. Но есть пару программ, которые обрабатываются через сервак. Доступ открыт только к этим прогам, всё остальное, нафиг залочено. Но Был случай, когда кто-то пытался вломиться под локальным админом, и учётка локального админа была залочена на пол часа. Это так сказали сисадмины мне. И поставили задачу убрать выбор доменов... Я сервисный сотрудник. И иногда нам приходится заходить на эту машину под своим сетевым именем... Чтобы получить доступ, ну скажем-с к обновлениям, или ещё чему-то, но всё таки надо... Дали подсказку, что можно как-то убрать вообще выбор доменов, а просто прописывать ручками, в формате user@domain или domain\user... Больше никаких подсказок не дали, кроме как google... :-(

Цитата:

Джон Сэвилл

Вопрос. Как с помощью Group Policy скрыть раскрывающийся список доменов в окне Windows Logon?

Ответ. По умолчанию, когда пользователь регистрируется в системе Windows, отображается список доменов, из которых пользователь выбирает нужный для проверки своей учетной записи. Если нужно скрыть список доменов и заставить пользователя в обязательном порядке указывать домен при задании имени в поле Username, можно внести изменения в реестр; соответствующих настроек в Group Policy нет. Но если создать приведенный ниже .adm-шаблон и импортировать его в Group Policy Object (GPO), то можно добиться, чтобы список доменов при регистрации не появлялся:

CATEGORY "Logon Settings"
KEYNAME "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"

POLICY "Hide Domain UI"
VALUENAME "NoDomainUI"
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
END POLICY
END CATEGORY

После импорта .adm-файла в GPO (предварительно проверьте путем отключения вида managed only policy, что данный объект групповой политики виден), активизируйте настройки, как показано на рисунке:

После обновления политики клиент при регистрации перестанет видеть раскрывающийся список доменов.

источник

и ещё

Цитата:

By default, when a user logs on to his or her Windows system, a list of domains is displayed from which the user can select which domain to use for account authentication. If you want to hide the list of domains and force the user to enter the domain as part of the username field, you can do so via a registry change, but no Group Policy setting exists by default. However, you can create the following .adm template file and import it to a Group Policy Object (GPO) to facilitate the suppression of the domain drop-down list:

CATEGORY "Logon Settings"
KEYNAME "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"

POLICY "Hide Domain UI"
VALUENAME "NoDomainUI"
VALUEON NUMERIC 1
VALUEOFF NUMERIC 0
END POLICY
END CATEGORY
After you import the .adm file into a GPO (and ensure that it's visible by turning off the managed only policy view) enable the setting by selecting view, filtering. After the policy refreshes on the client, the domain drop-down list will no longer show on the logon page.

The default domain name is stored in the DefaultDomainName registry value, but no built-in Group Policy setting to control its value. You can easily create a custom .adm file that will let you configure the default domain for computers that have the GPO applied. To do so, save this code as defaultdomain.adm in the C:\windows\inf folder.

CATEGORY "Logon Settings"
KEYNAME "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"
POLICY "Default Domain"
PART "Default Domain" EDITTEXT
VALUENAME "DefaultDomainName"
END PART
END POLICY
END CATEGORY

You can then add this template to an existing or new GPO's Computer Configuration section. To do so, select Add/Remove Templates. Click Add and select the defaultdomain.adm file. Because this registry subkey isn't in a standard, managed portion of the registry, you won't see it until you select Filtering under the View menu and clear the "Only show policy settings that can be fully managed" check box.

The new policy will be available under Computer Configuration, Administrative Templates, Logon Settings, Default Domain. The policy sets the specified domain on computers that receive the policy, as the figure shows. During migrations between domains, this policy saves users from having to select a new domain from the drop-down list.

If you want to hide both the dropdown list and set the default domain, you will need to set the default domain as mentioned above and ShowLogonOptions. If you set NoDomainUI you need to have the domain in the username either as domain\username or username@domainame.com.

ShowLogonOptions hides the options, not the options button. The user can still use the options button to show them. I couldn't find a way to hide the option without adding the domain name in the username field.

This worked for me.

CATEGORY "Logon Settings"
KEYNAME "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"

POLICY "ShowLogonOptions"
VALUENAME "ShowLogonOptions"
VALUEON NUMERIC 0
VALUEOFF NUMERIC 0
END POLICY
END CATEGORY