?? 關于DC（域控制器）機上如何禁用加入域的成員機的本地賬號呢？這樣做的意圖主要是加入域的客戶機登錄時是有兩個選擇的，一個是本機，一個是域，這樣的話，就不能保證用戶使用的時候一定登錄域，加域的意義也就不存在了。

??? 咨詢過大神，也找過度娘，最后得出以下結論：最好不要禁用域。建議用此種方法，加域前將客戶機除Administrator賬號以外的賬號全部刪除，并且給該賬號設置密碼，當然所有成員機統一，方便管理。然后將客戶機加域，再為每臺客戶機分配一個域賬號，這樣用戶就只能登錄域。

??? 這樣做主要是考慮如果單DC（域控制器）的話，又遇到DC掛掉，或者客戶機失去了與域的信任關系，則客戶機連本機也進入不了（如果有條件弄雙DC的話可能不用考慮，不過如果遇到兩臺DC都出問題就比較麻煩了，加上并不是很多企業都有條件弄雙DC，還有這樣做也是留下一條后路）。

?? 至于想做到禁用登錄本地的方法也做下整理：

??? （1）可以創建一個在DC上創建一個OU（組織單位），然后將需要拒絕本地登錄的計算機賬戶加入該OU，然后為該OU創建并鏈接一個GPO，編輯GPO的“計算機配置”-Windows設置-安全設置-本地策略-用戶權利分配下的拒絕本地登入 添加Users組??

?? （2）如何屏蔽登陸對話框中的那個登陸到域的選項，如此作就可以了：
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /V NoDomainUI /T REG_DWORD /D 1 /F
這個reg 在windows xp and windows 2k3下是可以直接執行的，大家完全可以將它做成計算機啟動腳本來批量部署

以上兩種方法只做為學習用，還是建議用開頭方法來更好一些！

轉載于:https://blog.51cto.com/binng/770636

總結

以上是生活随笔為你收集整理的如何在DC机上禁用成员机的本地账号的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。