大事件:使用者的賬戶被部分人使用
Myhat公司的網絡管理者最近發現部分使用者的賬戶被其他使用了,特别是一些部門主管的使用者。這可能是使用者無意間洩露了自己的密碼,一旦有人想搞破壞,那可就麻煩了!因為一些部門的賬戶可以進入一些機密資料夾!IT經理得知這個情況後,立即讓網絡管理者找到最佳的方法來解決這個問題!目前需要解決的是限制域使用者的并發登陸!
網絡管理者的疑惑:公司有兩百多台電腦,應該如何實作呢?
其實對于這個問題,有部分公司是存在的,不少網絡管理者也都有在遇到或是處理這個問題。帶着這個問題,部落客找到了好友網絡管理者A、B,采訪一下他們是如何來解決這個問題的。希望部落客的本期報到能給你提供幫助!也希望你能對本博部落客的繼續支援!
環境描述:
1、windows server 2003[域控制器]一台
2、用戶端XP一台[已加入到域中,計算機名[07D225E440BB471]
3、測試賬戶gl-01顯示名稱為[管理部-陳明輝]及mis-04
網絡管理者A:
我剛來公司的時候,也是遇到這個問題。我的思路是:通使用者的賬戶屬性來來實作讓特定的使用者登陸到特定的計算機,也就是通過使用者屬性裡的登陸到這個選項來設定他所能登陸到的電腦。
相關操作:
1、在此就以[管理部-陳明輝]為例:
首先我們對這個使用者進行[右擊——屬性]的操作,并定位到[賬戶]頁籤處!
現在我們點選[賬戶]頁籤下的[登入到]這個頁籤,輸入[管理部-陳明輝]或[賬戶gl-01]所能登入的計算機名稱,在這裡我們輸入用戶端計算機的名稱。
經過以上的設定後,gl-01這個賬戶隻能夠登入到[07D225E440BB471]這台計算機,不能登入其他計算機。現在我們來看看:
成功登入!
現在我們來使用mis-04這個賬戶測試下!首先我們對mis-04這個賬戶設定隻能登陸到電腦xp-01
現在讓mis-04來登陸[07D225E440BB471]這台計算機!
看看登入的結果吧!無法登陸到這台計算機上,并且mis-04隻能登陸到XP-01這台電腦!
網絡管理者A
總結:我使用這個方法半年多了,很棒。但是我覺得它不夠靈活,因為有時候,因為其他的需要,有的使用者需要使用其他使用者的電腦,這個時候我就需要手動設定,有些麻煩。不過總體而言,安全性是提高了,沒有出現賬戶被人盜用的情況了。建議一些小環境的網絡管理者可以試試!同時我也希望自己能夠幫到Myhat公司的網絡管理者啊!謝謝!
網絡管理者B:
我的方法跟網絡管理者A略有差別,他是通過手動設定使用者的登陸到,而我是能過腳本來實作的。相對而言,就會比較的簡單。現在我就先跟大家講操作,再講原理!
希望大家能夠喜歡!
現在我需要的資源如下:
1、準備兩個腳本。一個用于使用者登入時執行的login.vbs,另一個是用于登出時使用的logoff.vbs
2、為配合腳本,我們需要在DC上建立一個共享檔案夾,讓所有使用者擁有更改的權限!
3、建立一條組政策
A、準備腳本(我會在本文最後提供腳本給大家分享)
B、建立共享檔案夾Userinfo(為避免使用者錯誤,我盡量詳盡)
建立共享及并給使用者以變更權限
因為我的硬碟是NTFS檔案系統,是以在安全性這個頁籤裡我們也要給使用者權限,同樣是變更的權限。
C、建立組政策(在這裡因為我有安裝GPMC管理工具,是以以下過程跟沒有裝GPMC的使用者可能略有不同,這裡需要你的注意喲,如果你沒有安裝GPMC,部落客在此建議你安裝一個,這個工具好處真的沒得說!使用過的朋友都知道)
現在我就要針對管理部這個OU進行測試!建立一條[限制域使用者多點登入]的政策。
開始将我們的login.vbs這個腳本加入到啟動指令中。(繁體的說法就是複雜,中文的是啟動腳本)
找到指令碼的位置(抱歉,由于最近一直在使用繁體的系統,
設定登入的指令碼。點選新增——浏覽
現在我們找到login.vbs的位置,你可以将你的VBS檔案複制進去(這裡很重要,千萬不要自做主張更換位置,因為組政策運作的腳本是需要是URL路徑的),圖中使用的就是預設路徑!
選擇login.vbs,
在這裡logoff.vbs的選擇跟login.vbs是一樣,就不再詳述。在此就貼幾張圖出來吧!
在這一切設定完畢之後,為了加速就用的時候,我們在GPMC管理工具上将這個政策設定成強制。并重新開機我們的用戶端計算機,當然你也可以先執行gpupdate /force 這個指令來強行的重新整理組政策!
将這個政策設定成強制。
刷一下用戶端組政策吧!
經筆者測試多次,确定腳本無誤!花了筆者兩個小時的時間啊!現在我們來确定一下,客戶機是否有應到我們設定的組政策。
不錯,成功應用了!好的,現在我們就增多一台客戶機,使用一個賬戶登入兩台機試試!新增機器為SMS(2003系統,沒辦法那XP太郁悶一直都PING不能,就用2003吧,凡正都一樣的)
這兩天不知道出怎麼回事,虛拟機老是出這樣那樣的奇怪的問題,搞是實驗都無心去做了,還好我還是比較的有耐心,要不然這篇博文是出不來了。。。
這個破虛拟機差點把我給搞死,這破解版的,總還是不那麼可靠,完成這個系統之後,一定要重建!
我就趁我那虛拟機在安裝的時間跟大家講講使用腳本的原理吧!
其實那兩個腳本是用來記錄使用者所登入與登出的計算機時間,在一個使用者登入後,會立即寫下目前的記錄,如果使用者使用同一個賬戶在另一個計算機上登入時就會報警。現在我們來看看使用者登陸後,在共享資料夾裡産生的檔案!它的檔案命名方式以使用者的登陸名為主!
下面這個檔案是MIS-04登入計算機後産生的,我們可以清楚的看到MIS-04這個使用者所登入的計算機及時間!通過這種方式,如果MIS-04再登入其他的電腦的話,VBS會檢查這個檔裡面的資訊,當他發現MIS-04已經登入一台電腦了,并且沒有登出。它就會自動退出!
現在我們測試一下,使用MIS-04同時登入兩台客戶機[07D225E440BB471]和[SMS]上。大家仔細看下:
好,我先登入XP這台機,再登SMS這台機。看結果是怎樣的?
XP登入成功!
SMS這台計算機登入後,就有腳本提示!并自動退回到登陸界面!
操作完成。也成功的達到了限制域使用者并發登陸的目的!總體而言這個還是比較簡單的。網絡管理者B這樣描述:我一直在使用這個腳本,我覺得他非常的好,雖然我不會寫VBS,但是隻要靈活的運用,經常使用搜尋引擎你都能找到你想要的!我希望這個方法能夠被Myhat公司的網絡管理者運用到!
部落客說:
網絡管理者A和B提供的方法都很棒!當然使用哪一個方法取決于你對活動目錄及組政策的了解!部落客覺得在大多數環境中,使用網絡管理者B的方法是很不錯的。
通過對域使用者的并發登陸限制可以減少我們的PDC頻繁驗證的負荷,在使用者安全性起到一定的作用,同時也會減少公司使用者密碼洩露的問題,相信本文能夠能部分網絡管理者起到幫助!