CPPM v6.11.1 ， 采用加入AD域的方式来实现终端的802.1x认证(采用EAP-PEAP认证方法)，无论是加域的终端还是非加域终端，在用户认证阶段失败。在Access Tracker的Alerts选项卡中提示

MSCHAP:AD status:The user account is restricted so that it cannot be used to  log on from the source workstation.(0xc0000070)

问题原因:  

这里报错的根本原因是AD上针对该账号开启了登录到功能，要求该账号只能在指定的计算机名称主机上实现管理员登陆， 如果该账号在其他的主机上登陆(该主机的Hostname不包含在登录到的 计算机名称列表中)， 那么AD是阻止其登陆权限的。

那我们用的加域终端本身就是该账号的登录到的指定计算机名称，为什么也是无法登录呢?

原因就是在基于AD认证源的场景中，CPPM采用Join Domain方式结合本地的Samba服务，能够基于域控制器来认证AD域的用户.CPPM在这个过程中会使用自己的主机名向域控制器发送user name，Challenge 和response，如果认证成功，AD会返回NT Key给到CPPM。

此时AD会认为该账号正登录到 CPPM的主机名上，而AD中的该账号 的登录到中的计算机名称中没有CPPM的Hostname。

Ad的账号有个 登录到 属性， 一旦开启，设置为该用户可以登录到指定的计算机名称的主机上，不在该列表中的其他主机上是不能使用该账号登录的。

解决办法: