none
множественный логон пользователей RRS feed

  • Вопрос

  • Если кто найдёт топик по этому вопросу, то прошу ссыль
    Задача
    Обеспечить в домене w2k3 логирование кто где залогинился, время, имя компьютера, учётная запись.
    Запретить некоторым пользователям множественный логон, причём, не включая функцию Logon on to.

    Рассматриваются все варианты, если дополнительный софт, то желательно возможность разворачивания онного через gpo
    8 января 2007 г. 9:55

Ответы

  • Почитайте тему

    http://forums.microsoft.com/technet-ru/ShowPost.aspx?PostID=972417&SiteID=40

    http://www.microsoft.com/technet/technetmag/issues/2005/05/UtilitySpotlight/?related=y

    Что же касается протоколирования, то достаточно много лет в logon script у меня есть примерно такая строчка

    echo %logonserver% - %username% - %computername% - %date%%time% >>\\server\share$\journal.txt

    Никто еще не заметил.

    Ну и опять же, с DC можно собирать соответствующие события аудита.

    8 января 2007 г. 18:02
  • По материалам форума oszone.net:

    Q: Как ограничить возможность подключения нескольких пользователей под одной учетной записью?

    A: Способ 1: использование утилиты cconnect
    Есть утилита cconnect из набора Resource Kit Tools for Windows 2000 Limiting a User's Concurrent Connections in Windows 2000 and Windows NT 4.0
    правда тут она для Windows 200 Server дана. В наборе инструментов для Windows 2003 Server ее уже нет, однако, должна работать и в Windows 2003 Server.

    Способ 2: использование утилиты LimitLogin
    Для этой цели Microsoft предлагает утилиту LimitLogin.
    Данная утилита сохраняет сведения о регистрации пользователей в настраиваемом разделе AD (dc=limitlogin, dc=< domain >, dc=< com >; например, dc=limitlogin,dc=savilltech,dc=com) через Microsoft IIS 6.0 (Windows Server 2003), Web-служба, клиентский компонент и сценарии регистрации и завершения сеанса из сети.
    Полная конфигурация утилиты требует изменить схему леса AD для создания области, в которой будет сохраняться расширенная информация о состоянии регистрации.
    Поскольку при этом создается прикладной раздел AD, ваша сеть должна содержать, по крайней мере, один контроллер домена Windows 2003 Server.

    11 января 2007 г. 15:58

Все ответы

  • По поводу логирования нужно включить аудит при помощи групповых политик.

    По поводу запрета на вход на отдельные ПК я бы запретил это через свойства учетной записи в AD.

    8 января 2007 г. 11:49
  • Стандартными средствами всего что вы хотите не сделать. ПО такого плана от сторонних производителей тоже врядли найдется. Можно попробовать сделать некую поделку самому, (база данных и писать в нее что хочешь из логон/логофф скритов) но и тут возникнут проблемы... скажем с запертом "множественного логона", так как информация о том что пользователь вышел из системы сможет попасть в базу только в том случае если пользователь корректно завершил свой сеанс... а если он нажал ресет? :) ну и так далее...
    Так что, дерзайте!
    8 января 2007 г. 12:03
  • Почитайте тему

    http://forums.microsoft.com/technet-ru/ShowPost.aspx?PostID=972417&SiteID=40

    http://www.microsoft.com/technet/technetmag/issues/2005/05/UtilitySpotlight/?related=y

    Что же касается протоколирования, то достаточно много лет в logon script у меня есть примерно такая строчка

    echo %logonserver% - %username% - %computername% - %date%%time% >>\\server\share$\journal.txt

    Никто еще не заметил.

    Ну и опять же, с DC можно собирать соответствующие события аудита.

    8 января 2007 г. 18:02
  • Есть софт для ограничения одновременных сессий:

    http://www.it-observer.com/tools/51/userlock_manage_networks_access_control/

    http://www.isdecisions.com/en/software/userlock/

    а логгинг лично я бы наверное сделал в виде логон скрипта .vbs который делает insert в SQL базу (и других прав у пользователей на базу нет, как в случае с текстовым файлом и ECHO). мне так проще и вроде как нагляднее

    Хотя наверное правильнее было бы разобраться с аудитом и настроить соответственно, возможно при использовании какого-то дрполнительного софта станет не менее наглядно

    9 января 2007 г. 6:05
  • По материалам форума oszone.net:

    Q: Как ограничить возможность подключения нескольких пользователей под одной учетной записью?

    A: Способ 1: использование утилиты cconnect
    Есть утилита cconnect из набора Resource Kit Tools for Windows 2000 Limiting a User's Concurrent Connections in Windows 2000 and Windows NT 4.0
    правда тут она для Windows 200 Server дана. В наборе инструментов для Windows 2003 Server ее уже нет, однако, должна работать и в Windows 2003 Server.

    Способ 2: использование утилиты LimitLogin
    Для этой цели Microsoft предлагает утилиту LimitLogin.
    Данная утилита сохраняет сведения о регистрации пользователей в настраиваемом разделе AD (dc=limitlogin, dc=< domain >, dc=< com >; например, dc=limitlogin,dc=savilltech,dc=com) через Microsoft IIS 6.0 (Windows Server 2003), Web-служба, клиентский компонент и сценарии регистрации и завершения сеанса из сети.
    Полная конфигурация утилиты требует изменить схему леса AD для создания области, в которой будет сохраняться расширенная информация о состоянии регистрации.
    Поскольку при этом создается прикладной раздел AD, ваша сеть должна содержать, по крайней мере, один контроллер домена Windows 2003 Server.

    11 января 2007 г. 15:58