AD 域控仅允许域用户登录

@min 某些用户的旧有电脑存在一些本地用户，在迁移的时候没有 ban 掉。

我的第一反应也是用户没有本地账号如何登入，看到后面了解了，问题的背景应该是原来没有怎么管理，现在想要转为只允许 AD 账号登入。所有类似问题都有一个默认要求，就是先要取消用户管理员权限，即讨论的环境中用户都是不知道本地管理员账号密码的，他的 AD 账号也都没有本地管理员权限，如果这一点无法满足，那么永远没有答案。

假设管理员权限管控的问题已经解决，那么前面很多人已经回答了如何限制只允许 AD 账号登入的做法，比如 @cjpjxjx 说的通过本地安全性策略设置“允许本地登入”这项即可实现你要的效果，你可以移除默认的 users 组，换成 domain users 或类似的某个域用户组，确认其它组里面没有本地用户即可，如果前面已经做到 administrators 组里面没有本地用户，那应该就没什么问题了。

@yanqian
多谢指教
现在用户已经没有管理员权限了。
但是还存在有用户旧有的本地账户。所以出现了此问题，
我后续也思考了一下，@cjpjxjx 所提供的方法似乎是可行的。
实际的方案应该是 设置启用 允许本地登入策略，并且 Menbers 里面设置 Domain Users 这个组。
应该就可以实现了。AD 的用户组应该全部都是隶属于最起码的 Domain Users 这个组的。
是我之前的想法太过于直接了。