AD活動目錄給企業提供了一個很好的單一用戶帳號登錄的解決方案,它採用統一的方式進行域內用戶的身份驗證,但是也有個顯而易見的缺陷,那就是並沒有提供一個良好的工具幫助管理員控制用戶的併發登錄,這種設定可能會潛在的影響整個網絡的安全性,因爲用戶默認情況下,可以從多個位置併發登錄,不利於安全監控。因而很多管理員希望用戶在同一時間內只能登錄到活動目錄一次,或者限制用戶只能在某個工作站登錄,從而避免用戶帳號被***盜用或引發其他不安全因素,但是活動目錄本身的工作機制決定了用戶可以同時從多個位置併發登錄。那我們有沒有辦法來實現我們的要求呢?答案當然是肯定的,我將在該文以及後續的幾篇文章中陸續爲大家介紹一些工具和方法來限制用戶的多點併發登錄。
(補充說明:其實,也正因爲活動目錄的多點併發特性,才使它背上了“設計不夠人性化”、“不夠安全”的罵名,其實我覺得應該爲微軟平反一下,其實微軟之所以這樣設計,並不是“考慮欠周”,而是設計出發點不同。微軟當初在設計AD架構的時候是用戶的利益爲中心的,也就是說無論任何時候要保障用戶的應用不受到影響,業務不受影響。如果將每個用戶賬戶限制只能登錄到哪臺計算機,那一旦一批賬戶在規定的計算機上登錄遇到問題的時候,用戶短時間內就無法使用其他人的計算機進行工作了。)
在我要介紹的方法和工具中,就包括了限制活動目錄用戶屬性中的“登錄到”值和使用“登錄/註銷”腳本。以及使用微軟推出的“LimitLogin”工具和第三方工具“Userlock”,(原本還想介紹微軟於2000時代推出的工具Cconnect,但是這個工具自從N年前我測試過後就很難再找到了,甚至在MS網站上我也沒有找到,未免有些遺憾。如果您手頭有這個工具,不凡短消息PM我。如果有需要,我將完善此係列教程。不過這個工具不談也罷,它早就是一個過時的產品了,已經被微軟淘汰了,而且據我所知,它和2003系統還存在兼容性的問題。)
測試軟件環境:
DC
IP:192.168.1.44 FQDN:DC.a.com
Client A
IP:192.168.1.54 FQDN:ClientA.a.com
Client B
IP:192.168.1.64 FQDN:ClientB.a.com
測試環境簡單直觀,一臺Windows server 2003 SP2 EE充當域控制器,兩臺Windows XP SP2 Pro客戶端均已加入現有域a.com中。已在DC上建立了兩個用戶Bob和Alice以進行所需的測試。同時已經將這兩臺客戶端和兩個測試帳號拖拽到了一個名爲Test的OU中以方便進行組策略實施。如無特別說明,後續文章的試驗環境均與此文中的相同,不再贅述。
| 使用“登錄到”限制用戶可登錄的工作站 該方法使用的是限制AD用戶屬性中的一個值Workstation,通過對這個值的設定就能指定用戶僅能在某臺或某幾臺計算機上登錄,由於同一個域中不可能有多臺計算機名相同的計算機,所以就能輕鬆達到限制用戶多點併發訪問的目的。 1)默認情況下,這個“登錄到”是不做任何限制的,也就是默認域用戶能多點併發登錄,如圖1所示: 2)我們對Bob用戶的“登錄到”屬性做一下修改,只允許它登錄ClientA,如圖2: (注意:此處的"登錄到"設置對Win9x系統無效,用戶可以從任何基於Windows 9x的工作站登錄。) 3).然後我們進行登錄驗證。用Bob這個用戶分別登錄ClientA和ClientB計算機,得出如圖3登錄成功的結果和如圖4失敗的結果。 |
4)以上通過修改“登錄到”屬性來實現限制用戶多點併發登錄簡單有效,限制比較死,很適合規模較小的公司和對登錄安全性要求較高的公司,但同事它也有如下缺點:
1. 設置不夠靈活。如果需要在多個工作站上登錄,需要添加多個計算機的Netbios名稱,如果不清楚計算機名稱,還有可能造成名稱輸入錯誤。
2. 工作量大。如果企業中有1000個用戶,就需要至少設置1000臺計算機名稱。
3. 不適合計算機名發生更改較頻繁的場景。如果用戶更改了計算機名稱,還要同時修改登錄到工作站的Netbios名稱信息。
4. 我認爲一個最大的不足就是此方式可能會造成用戶應用受到影響。如果限制了用戶“登錄到”屬性,那麼就有可能在應用其他業務系統的時候會造成無法登錄或其他情況,例如訪問Exchange 2007 OWA時,如果沒有將負責提供OWA服務的客戶端訪問服務器的計算機名加入用戶的“登錄到”屬性中,那麼該用戶是無法訪問OWA站點的。諸如此類的例子還有很多,就不一一枚舉了。
補充說明:在這一系列的文章中,我將陸續爲大家介紹如何來限制用戶的多點併發登錄,如果你的目的很明確,只需要實現指定的用戶僅能登錄指定的計算機,而不希望別人的用戶使用該計算機,那麼則只能使用該文中的方法。其他文章的一個重點是如何保證同一時刻同一用戶帳號只登錄一次,至於這個帳號當前在哪臺工作站上面則不是討論的重點。