O caminho "certo":
Existe, sim (mais ou menos), mas antes de eu lhe dizer do jeito que eu sei fazer isso, deixe-me dizer que - por padrão, eles fazem login no domínio que você dita e não precisam se preocupar com a lista suspensa de domínios.
A maneira "Desativar a lista de domínios":
De qualquer forma, para remover a lista suspensa, o que forçará os usuários a usar o UPN completo (nome principal do usuário):
- Navegue até
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon - Crie um novo
DWORDdeNoDomainUI - Defina o valor deste
DWORDpara1 - Reinicie a máquina.
A tela de logon não mostrará mais uma lista suspensa de domínios quando a máquina for inicializada, e os usuários precisarão digitar o UPN completo para fazer o logon.
Obviamente, como esta é apenas uma alteração no registro, você pode enviá-la por GPO ou GPP para todas as suas máquinas, em vez de fazê-lo manualmente.
Usando um bug documentado para ocultar todos os domínios, exceto um:
EDIT: Em resposta ao comentário do @ Massimo com requisitos mais explícitos, Eu encontrei este encadeamento de Technet , que sugere o bug neste KB como uma solução alternativa .
Basicamente, como resultado do arquivo Netlogon.ftl não ter as permissões adequadas para serem abertas pelo processo winlogon , a lista de domínios confiáveis não pode ser exibida, resultando apenas no domínio ao qual a máquina / usuário pertence. exibido.
Com base em um teste rápido, isso parece funcionar, em uma floresta FL de 2003, em um cliente XP (todos virtualizados no ambiente de laboratório no meu laptop). Não posso fazer testes mais extensos no momento, mas ficaria realmente curioso se outra pessoa puder e relatar se ela funciona para sistemas operacionais mais novos ou em ambientes diferentes.
Usar um bug como esse tem que ser a coisa mais hacky que já fiz, e estou morbidamente curioso para saber como isso se dá em outros ambientes.