現(xiàn)在很多網(wǎng)絡(luò)都已經(jīng)實(shí)現(xiàn)了域管理，在默認(rèn)情況下，普通域用戶是能夠登錄任何客戶端系統(tǒng)的，有些人就可能登錄別人的計(jì)算機(jī)看到一些隱私信息或機(jī)密信息，有什么辦法讓域用戶只能登錄指定的計(jì)算機(jī)呢？比如張三只能登錄他自己日常使用的計(jì)算機(jī)？
其實(shí)，只要在“AD用戶與計(jì)算機(jī)”管理界面中雙擊相應(yīng)的用戶，打開(kāi)用戶“屬性”窗口，切換到“賬戶”標(biāo)簽，點(diǎn)下面的“登錄到”按鈕，選中“下列計(jì)算機(jī)”，并添加要登錄的計(jì)算機(jī)名即可，如圖1所示，一般是添加系統(tǒng)的Netbios名，且計(jì)算機(jī)名不能超過(guò)15個(gè)字母。如果只是為個(gè)別用戶綁定計(jì)算機(jī)就這樣操作，那如果要為整個(gè)域中成百上千的用戶綁定又怎么辦呢？還是這樣辦？如果還是這樣，那就沒(méi)有本文產(chǎn)生的必要了。

你也一定想到了，在這么多用戶的前提下，只有通過(guò)批處理或程序的辦法實(shí)現(xiàn)綁定。如果用程序的話，辦法又不是每個(gè)人都會(huì)的，下面就講一種大家都會(huì)，通俗易做的辦法，讓每個(gè)人都能操作。
當(dāng)然，綁定還是得有前提條件的，計(jì)算機(jī)命名要規(guī)范，如用戶名為五位職工號(hào)，而計(jì)算機(jī)名則為“公司名縮寫-工號(hào)”，這樣才知道該怎么綁定。話不多說(shuō)，下面介紹綁定辦法，請(qǐng)先在域控制器上安裝Windows 2003光盤上的Support工具。
第一步：導(dǎo)出所有用戶及相關(guān)屬性（注意下面是一行）。
csvde -f csvde.ldf  -d "ou=dky users,dc=dky,dc=cqep,dc=com,dc=cn" -r "(objectclass=user)" -l　dn,objectClass, displayName,sAMAccountName
我這里域是dky.cqep.com.cn，用戶在組織單元dky users下，請(qǐng)用自己的參數(shù)替換，后面的命令也是如此。
第二步：打開(kāi)csvde.ldf，用“#”替換掉“"”（雙引號(hào)）和“',”（單引號(hào)和逗號(hào)），這樣以“#”號(hào)分列，全部替換后請(qǐng)保存，如圖2所示。

然后執(zhí)行“for /f "skip=2 tokens=1-3 delims=#" %a in (csvde.ldf) do (dsmod user "%a" -office dky-%c)”，指定辦公室的值。修改之后隨便點(diǎn)擊一個(gè)用戶，在辦公室屬性里就會(huì)有如圖3所示的顯示。如果要綁定多臺(tái)計(jì)算機(jī)（某些使用域進(jìn)行身份驗(yàn)證的應(yīng)用程序可能會(huì)要求綁定特別的服務(wù)器，如要owa方式訪問(wèn)exchange服務(wù)器時(shí)，需要綁定exchange客戶端訪問(wèn)服務(wù)器角色），請(qǐng)?jiān)?ldquo;-office”后面添加更多值，如“-office dky-%c,dky-dc1,dky-server1”。關(guān)于for命令的詳細(xì)解釋，輸入命令“for /?”即可查看。

第三步：導(dǎo)出修改了辦公室值的用戶到ldie.ldf文檔，具體如下：
ldifde -f ldie.ldf  -d "ou=dky users,dc=dky,dc=cqep,dc=com,dc=cn " -r "(objectclass=user)" -l codepage,userworkstations
第四步，復(fù)制ldie.ldf的內(nèi)容在Word中操作，主要是進(jìn)行一系列替換操作，Word的替換功能很強(qiáng)大，不但可以查找替換一般字符，還可以查找替換一些隱藏字符，如段落標(biāo)記等。
首先是查找“changetype: add”，替換為“changetype:modidy^preplace:userworkstations”，注意字符“^p”表示段落標(biāo)記。查找的內(nèi)容請(qǐng)直接從文檔中復(fù)制，以免漏掉某些特殊字符。接著把“physicaldeliveryofficename”替換為“userworkstations”。最后把“codepage:0”替換為“-”。
第五步，把Word里修改后的內(nèi)容復(fù)制到記事本，另存為in.txt。
第六步，在域控制器執(zhí)行導(dǎo)入“ldiedf –i –f d:in.txt”，此命令將執(zhí)行綁定。在綁定完成之后，建議進(jìn)入圖1的窗口隨機(jī)檢查一下綁定是否與用戶匹配。
最后建議，此綁定操作之后，域用戶就只能登錄到綁定的計(jì)算機(jī)，所以建議先綁定一個(gè)部門用戶，觀察一周后，如無(wú)問(wèn)題，再大量綁定。
轉(zhuǎn)自藏鋒者網(wǎng)絡(luò)安全：限定域用戶登錄指定計(jì)算機(jī)-網(wǎng)絡(luò)安全解決方