AD域里面可以设置不让用户从本地登录吗

通常有四个办法来解决或者说变通的解决这个问题。
1、用策略禁止本地登陆。可以建立一个ou，然后将需要控制的计算机账户放置其中，然后在此ou上设置策略，在计算机安全策略中直接指定禁止本地登陆。但是这么做有个问题，我们设想一个场景：如果客户端套用到这个策略，碰巧当前计算机网络不可用，一旦系统出现问题，那么就连本地管理员也无法进行登陆，此时Help Desk不就头疼了吗？
2、限制本地群组。通常来说，最好的做法就是这个方法。可以手动删除所有本地账户（内置的账户常规方法是不能删除的）；然后清理本地管理员群组中的账户，至少保留内置系统管理员及Domain admins；最后统一修改本地管理员账户密码。这样用户没有本地账户，就只能登陆到域。
当然这个方法不适合大规模部署，那么可以通过策略的方式限制 允许本地登陆的账户或群组，也可以限制本地群组中的账户(关于受限群组策略，请参考 http://gnaw0725.blogdriver.com/gnaw0725/506922.html)

3、修改注册表自动登陆。具体的参数修改情参考 http://support.microsoft.com/kb/315231/zh-cn ，不过记得用户名要用 username@domain.com 的格式啊。这种做法呢，只是表面上的解决;) 1)用户登陆或者注销的时候按住 shift键就可以使用其他账户了。2)任何能接触计算机的人都可以登陆了，不安全。所以这种方法不推荐。

4、屏蔽登陆对话框中本地选项。这个方法的注册表设置请参考 Windows2003可以用其它用户本地登录吗 winxp本地登录、用户切换 如何创建一个可以设置密码的登录用户？ WinXP可以同时两个用户登录吗？ 在局域网里面,如何设置让本地用户的上网速度能提高 在路由器里能设置不让用户下载吗 怎么设置路由器可以从外网控制本地机器 QQ的那个登录广告可以不让它跳出来吗？ Windows2000本地用户的权限设置 VSFTPD如何设置本地用户访问啊