وقتی یک User جدید در اکتیودایرکتوری تعریف و ایجاد می کنید، این کاربر بصورت پیشفرض در گروه Domain Users اضافه می شود و گروه Domain Users هم وقتی یک سیستم به دامین جوین شود، عضو گروه Users در آن کلاینت اضافه می شود. پس هر کاربری در شبکه دامین می تواند با اکانت خود در هر سیستم جوین شده به دامین لاگین کند. اما چگونه لاگین کاربران با برخی از کامپیوترها را محدود کنیم. یعنی محدودیت هایی را اعمال کنیم که کاربر فقط از طریق کامپیوتر خاص یا کامپیوترهای خاص فقط بتواند با اکانت اکتیودایرکتوری خود لاگین کند.

Restricting User Account to Logon Only to the Specific AD Computers

به عنوان مثال می خواهیم لاگین کاربر را فقط و فقط با کامپیوتر خودش محدود کنیم. یعنی فقط از طریق سیستم خودش بتواند با اکانت دامینی خود لاگین کند.
برای این منظور در سرور دامین کنترلر کنسول Active Directory Users and Computers یا ADUC را باز کرده و سپس یوزر مورد نظرتان را بیابید.
روی یوزر دابل کلیک کنید تا فرم Properties آن کاربر باز شود.
در این فرم به تب Account رفته و دکمه Log On To را کلیک کنید.


همانطور که مشاهده می کنید، لیست خالیست و گزینه all domain computers یا all computers انتخاب شده است که نشان از این دارد این کاربر می تواند از طریق هر کامپیوتری در شبکه لاگین کند. گزینه The following computers را انتخاب کنید، حالا می توانید کامپیوتر یا کامپیوترهایی که این کاربر مجاز به لاگین از طریق آنهاست را مشخص کنید.


در لیست فوق قابلیت Auto Complete وجود ندارد. یعنی این گونه نیست که شما بخشی از نام کامپیوتر را وارد کنید و بصورت خودکار نام کامپیوتر کامل شود بلکه باید یا نام Netbios ای کامپیوتر یا نام DNS ای آن کامپیوتر را کامل وارد کنید. سپس دکمه Add را بزنید تا به لیست پایین آن اضافه شود.
اما این لیست هم محدودیت هایی دارد. بصورت Unlimited نیست. تعداد مشخصی کامپیوتر را می توانید به لیست اضافه کنید. فقط 4 کامپیوتر را می توانید به لیست اضافه کنید و برای اضافه کردن کامپیوتر 65 ارور زیر را دریافت خواهید کرد.

This property is limited to 64 values. You must remove some of the existing values before you can add new ones

بدین ترتیب کاربر را مجاز به لاگین از طریق کامپیوترهایی که در لیست تعریف کرده اید، می کنید. کاربر نمی تواند از طریق سیستم های دیگر شبکه با اکانت خود لاگین کند.

How to Modify the LogonWorkstations Attribute in PowerShell?

محدود کردن لاگین کاربر به کامپیوترهای تحت دامین به صورت دستی کاملاً خسته کننده است. با PowerShell می توانید این عمل را خودکار کنید. لیست رایانه هایی که کاربر اجازه لاگین به آن را دارد در Attribute کاربر با نام LogonWorkstations ذخیره شده است.در مثال زیر لاگین کاربر فقط از طریق کامپیوترهایی که در لیست CSV قرار دارد مجاز شده است. یعنی فقط کامپیوترهایی که در فایل CSV مربوطه که نام آن Computer.csv است لیست شده باشد، کاربر از طریق آنها می تواند لاگین انجام دهد. حالا این لیست را به Property های کاربر اضافه می کنیم.
توجه داشته باشید که آدرس فایل CSV در سیستم خودتان و نام کاربر را جایگزین کنید(دستور را در پاورشل اجرا کنید):

Import-Module ActiveDirectory

$ADusername = ‘asmith’

$complist = Import-Csv -Path "C:\PS\computers.csv" | ForEach-Object {$_.NetBIOSName}

$comparray = $complist -join ","

Set-ADUser -Identity $ADusername -LogonWorkstations $comparray

Clear-Variable comparray

حالا با کمک دستور Get-ADUser می توانید لیست کامپیوترهایی که کاربر مورد نظر مجاز به لاگین از طریق آنهاست را مشاهده کنید:

Get-ADUser $ADusername -Properties LogonWorkstations | Format-List Name, LogonWorkstations

از طریق کنسول ADUC و فرم Property کاربر مذکور هم می توانید لیست کامپیوترهای مجاز را مشاهده کنید.


برای افزودن کامپیوتر جدید به لیست هم از دستور زیر می توانید استفاده کنید. نام کامپیوتر را جایگزین Computer name درج شده در دستور زیر کرده و در ادامه کاربرتان را هم جایگزین کنید.

$Wks = (Get-ADUser asmith-Properties LogonWorkstations).LogonWorkstations

$Wks += ",man-b2-wks2"

Set-ADUser h.mohammadi -LogonWorkstations $Wks