其实这个问题，我在技术论坛上专门发帖请教过很多人，大家的解决方法很多我也没有一一去试，因为他们写的解决方案，跟我当时遇到这个问题需要解决的前提是不一样的。

这两天闲来无事，竟偶然遇到了解决限制本地登录的域帐户的方法

就像可登录域的所有帐户都存储在domain users组里面一样，所有可登录本地计算机的域帐户是保存在本地计算机的users组里面的，打开users的成员一看domain users这个组果然在里面。到此，终于明白为什么所有的域帐户都可以登录任意计算机了。

一般而言，域内一些比较重要的计算机是不想任何人都可以登录的，这样安全性就没有了保证。比如财务部门的计算机，只希望个别财务的帐户能登陆。所以要限制这点，只要把本地计算机users组里面的domain users给删除掉，加入希望登陆的域帐户即可起到限制的作用

11月22日，再次和别人讨论过这个问题后，很是失望，原来结果是这样的，我上面写那个办法只是在本机上的操作权限，也就是说domain users存在于本地的users组里面只是让域用户拥在本地有最低的操作权限而已

请问如何使域用户只能登陆自己的电脑，不能在其他人的电脑上登陆？limitlogon是否能够做到这个功能？感觉应该是一个很常用的功能，怎么就不能实现呢？回答：只有在用户账户属性中设置“登录到”。这个也只能一个一个账户的设置。limitlogon 那是限制一个账户只能登录一次，但不限制登录到哪台电脑上。嗯……那么通常来说，有四个方面来阐述这个问题：

其一，我想这可能是中西方一个文化背景的差异。微软在设计ad的架构的时候是用户的利益为中心的，也就是说无论任何时候要保障用户的应用不受到影响，如果将每个用户账户限制只能登录到哪台计算机，那么一但一批账户在规定的计算机上登录遇到问题的时候，用户短时间内就无法使用其他人的计算机进行工作了。

其二，通常同一个业务部门，具有相同的业务特性，该部门内的安全登录可以这样设置，让业务部门内的用户组可以在该部门内的所有计算机上登录。这样做，可以算是针对上面那种情况，在考虑安全性的前提下的一个折衷方案。

其三，在客户端本地不要保留关键性业务数据。从原则上来讲，企业是不会为用户的私人数据承担安全责任的，客户端仅是为业务运作提供的一个工具，所有的业务数据以及企业智能财产都应该得到集中保存和审核。如果管理员从it基础架构上做好了工作，那么就会发现对于同一业务部门的用户来说，没有必要限制的如此严格。当年，国外很多服务器和笔记本硬盘都很小，只分一个区，就是因为这样一个考虑。

其四，如果按照微软客户端的最佳安全实践来做，默认状态下，domain user是没有权限查看其他账户数据的。----- gnaw0725 您好！

根据我的研究，在组策略上是没有具体的设置可以禁止域帐号进行漫游登陆。如果您希望指定域用户只能登陆某台客户端的话，建议您执行以下操作：

1. 点击“开始－>运行”并输入“DSA.MSC” －>打开“Active Directory用户和计算机”。

2. 右键点击需要进行设置的用户－>“属性”－>“帐户”－>“登陆到”－>“下列计算机”。

3. 添加指定的计算机。

更多信息请查看IT技术专栏