1、限制本地群组。通常来说，最好的做法就是这个方法。可以手动删除所有本地账户（内置的账户常规方法是不能删除的）；然后清理本地管理员群组中的账户，至少保留内置系统管理员及Domain admins；最后统一修改本地管理员账户密码。这样用户没有本地账户，就只能登陆到域。当然这个方法大规模部署，那么可以通过策略的方式限制 允许本地登陆的账户或群组，也可以限制本地群组中的账户。

 

2、用策略禁止本地登陆。可以建立一个OU，然后将需要控制的计算机账户放置其中，然后在此OU上设置策略，在计算机安全策略中直接指定”禁止本地登陆”。可能潜在的问题：如果客户端套用到这个策略，碰巧当前计算机网络不可用，一旦系统出现问题，那么就连本地管理员也无法进行登陆，对于Help Desk排错造成麻烦。

 

3、修改注册表自动登陆。具体的参数修改情参考http://support.microsoft.com/kb/315231/zh-cn，不过记得用户名要用username@domain.com的格式啊。潜在问题：
1)用户登陆或者注销的时候按住 shift键就可以使用其他账户了。
2)任何能接触计算机的人都可以登陆了，不安全。

 

4、修改注册表屏蔽登陆对话框中本地选项。其实登陆的那个窗口就是这个MSGINA，如果当前网域中的Client是Windows XP（注意，win2k是不允许自定义msgina的），那么可以定制这个DLL，然后通过策略将这个DLL利用计算机策略发布出去，能让登陆界面更符合企业的需求。