大家都知道，Windows活動目錄中，默認情況下，域用戶可以在任意域計算機上登陸。哪么如何阻止這種現象發生呢？

常見的方法有在ADUC中設置用戶屬性中的登陸到，指定他能夠登陸到的計算機。還有就是在客戶端組策略的安全設置|本地策略|用戶權限指派|“在本地登陸”設置允許在該計算機上登陸的用戶和組。還有就是并發登陸，這里我們不討論這個。微軟有一個limitlogon工具，沒怎么用過。至少我下下來我不知道從哪里下手。似乎這些方法都有一個點，需要手動一個一個的去設置用戶的登陸屬性，這對于大型環境，會打來很大的工作量。為此，我提出下面這個方法，主要思想創建一條域組策略的是將在該計算機上登陸最多的用戶添加到“在本地登陸”中去。但是不同的機器又不同的用戶，如何解決這個問題呢。我的處理方法是在每個客戶端添加一個本地用戶組，在策略“在本地登陸”中，將一個組添進去，將登陸客戶端機器最多的用戶添加到這個組中去。創建本地組和添加用戶到組是可以采用腳本來實現的，從而解決了逐個設置的麻煩。

本人腳本不是很熟，很多是參照其他的腳本寫的，也許有的地方不是很***。

一、創建本地組

有兩種方式，一種BAT腳本，一種VBS腳本，將腳本作為啟動腳本。

    
1、BAT方式
net localgroup LogonUser /add /comment:允許本地登組
 
2、VBS
strComputer = "."
Set objComputer = GetObject("WinNT://" & strComputer & ",computer")
Set objGroup = objComputer.Create("group", "LogonUser")
objGroup.SetInfo

二、找出在客戶端登陸最多的用戶。

誰的機器，一般情況下當然是誰使用誰登陸的最多。哪么如何找出這個用戶呢？登陸登陸，對了，審核。哪么我們得在域中的策略中將登陸成功審核開啟。我們只需要檢索誰登陸成功審核日志最多。首先***個要解決的問題就是，我如何獲得在這臺機器上登陸過得域賬戶？

每一個域賬戶登陸后，都會在注冊表SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList寫入一個記錄，下面的子項是他們的SID。哪么我只需要讀出這些SID就可以了。在反過來通過SID查處用戶。

   
Set oReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_
                strComputer & "\root\default:StdRegProv")
strKeyPath = "SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList"
oReg.EnumKey HKEY_LOCAL_MACHINE, strKeyPath, arrSubKeys
For Each subkey In arrSubKeys
If left(subkey,40) = "S-1-5-21-3417139075-3398302879-647143828" Then
'比較SID，只統計域帳戶，上面這一行是域用戶SID的前面一段，應該屬于域ID。
 
Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")
Set colItems = objWMIService.ExecQuery _
("Select * from Win32_UserAccount Where LocalAccount='False' And SID= '" & subkey & "'")
 
For Each objItem in colItems
LogonTimes=CountLogon("cotoso\\" & objitem.Name) 
'函數CountLogon,統計事件日志\安全 中成功審核的事件次數

     
Function CountLogon(Username)
strComputer = "."
Set objWMIService = GetObject("winmgmts:{(Security)}\\" & _ strComputer & "\root\cimv2")
Set colEvents = objWMIService.ExecQuery
      _ ("SELECT * FROM Win32_NTLogEvent WHERE LogFile = 'Security' AND " & _
         "EventCode = 528 AND User ='" & username & "'")  ‘統計事件528的用戶
CountLogon=colEvents.Count end Function

【編輯推薦】

1. IT領域25大鮮為人知秘密曝光：Windows非原名
2. 007.確保windows安全性
3. IT領域25大鮮為人知秘密曝光：Windows非原名