新建域后，winxp pro客户端登录时可选登陆到域还是登陆到本地计算机，如何设置可以禁止登录到本地计算机？ 强迫用户只能以特定身份登录域谢谢！

答：通常有四个办法来解决或者说变通的解决这个问题。

1、用策略禁止本地登陆。可以建立一个ou，然后将需要控制的计算机账户放置其中，然后在此ou上设置策略，在计算机安全策略中直接指定 禁止本地登陆 。但是这么做有个问题，我们设想一个场景：如果客户端套用到这个策略，碰巧当前计算机网络不可用，一旦系统出现问题，那么就连本地管理员也无法进行登陆，此时Help Desk不就头疼了吗？

2、限制本地群组。通常来说，最好的做法就是这个方法。可以手动删除所有本地账户（内置的账户常规方法是不能删除的）；然后清理本地管理员群组中的账户，至少保留内置系统管理员及Domain admins；最后统一修改本地管理员账户密码。这样用户没有本地账户，就只能登陆到域。当然这个方法不适合大规模部署，那么可以通过策略的方式限制 允许本地登陆的账户或群组，也可以限制本地群组中的账户(关于受限群组策略，请参考[url]http://gnaw0725.blogbus.com/logs/4888519.html[/url])

3、修改注册表自动登陆。具体的参数修改情参考 [url]http://support.microsoft.com/kb/315231/zh-cn[/url] ，不过记得用户名要用 [email protected] 的格式啊。这种做法呢，只是表面上的解决;) 1)用户登陆或者注销的时候按住 shift键就可以使用其他账户了。2)任何能接触计算机的人都可以登陆了，不安全。所以这种方法不推荐。

4、屏蔽登陆对话框中本地选项。这个方法的注册表设置请参考[url]http://gnaw0725.blogbus.com/logs/4888464.html[/url] 。其实登陆的那个窗口就是这个MSGINA，如果当前网域中的Client是Winxp（注意，win2k是不允许自定义msgina的），那么可以定制这个DLL，然后通过策略将这个DLL利用计算机策略发布出去，能让登陆界面更符合企业的需求。