大事件:用户的账户被部分人使用
Myhat公司的网络管理员最近发现部分用户的账户被其他使用了,特别是一些部门主管的用户。这可能是用户无意间泄露了自己的密码,一旦有人想搞破坏,那可就麻烦了!因为一些部门的账户可以进入一些机密资料夹!IT经理得知这个情况后,立即让网络管理员找到最佳的方法来解决这个问题!当前需要解决的是限制域用户的并发登陆!
网络管理员的疑惑:公司有两百多台电脑,应该如何实现呢?
其实对于这个问题,有部分公司是存在的,不少网络管理员也都有在遇到或是处理这个问题。带着这个问题,博主找到了好友网络管理员A、B,采访一下他们是如何来解决这个问题的。希望博主的本期报到能给你提供帮助!也希望你能对本博博主的继续支持!
环境描述:
1、windows server 2003[域控制器]一台
2、客户端XP一台[已加入到域中,计算机名[07D225E440BB471]
3、测试账户gl-01显示名称为[管理部-陈明辉]及mis-04
网络管理员A:
我刚来公司的时候,也是遇到这个问题。我的思路是:通用户的账户属性来来实现让特定的用户登陆到特定的计算机,也就是通过用户属性里的登陆到这个选项来设置他所能登陆到的电脑。
相关操作:
1、在此就以[管理部-陈明辉]为例:
首先我们对这个用户进行[右击——属性]的操作,并定位到[账户]选项卡处!
使用[登陆到]與[脚本]實現限制域用户的并发登陆_第1张图片
现在我们点击[账户]选项卡下的[登入到]这个选项卡,输入[管理部-陈明辉]或[账户gl-01]所能登入的计算机名称,在这里我们输入客户端计算机的名称。
使用[登陆到]與[脚本]實現限制域用户的并发登陆_第2张图片
经过以上的设定后,gl-01这个账户只能够登入到[07D225E440BB471]这台计算机,不能登入其他计算机。现在我们来看看:
使用[登陆到]與[脚本]實現限制域用户的并发登陆_第3张图片
成功登录!
使用[登陆到]與[脚本]實現限制域用户的并发登陆_第4张图片
现在我们来使用mis-04这个账户测试下!首先我们对mis-04这个账户设置只能登陆到电脑xp-01
使用[登陆到]與[脚本]實現限制域用户的并发登陆_第5张图片
现在让mis-04来登陆[07D225E440BB471]这台计算机!
使用[登陆到]與[脚本]實現限制域用户的并发登陆_第6张图片
看看登录的结果吧!无法登陆到这台计算机上,并且mis-04只能登陆到XP-01这台电脑!
使用[登陆到]與[脚本]實現限制域用户的并发登陆_第7张图片
网络管理员A 总结:我使用这个方法半年多了,很棒。但是我觉得它不够灵活,因为有时候,因为其他的需要,有的用户需要使用其他用户的电脑,这个时候我就需要手动设置,有些麻烦。不过总体而言,安全性是提高了,没有出现账户被人盗用的情况了。建议一些小环境的网络管理员可以试试!同时我也希望自己能够帮到Myhat公司的网络管理员啊!谢谢!
网络管理员B:
我的方法跟网络管理员A略有区别,他是通过手动设定用户的登陆到,而我是能过脚本来实现的。相对而言,就会比较的简单。现在我就先跟大家讲操作,再讲原理! 希望大家能够喜欢!
现在我需要的资源如下:
1、准备两个脚本。一个用于用户登入时执行的login.vbs,另一个是用于注销时使用的logoff.vbs
2、为配合脚本,我们需要在DC上创建一个共享文件夹,让所有用户拥有更改的权限!
3、建立一条组策略
A、准备脚本(我会在本文最后提供脚本给大家分享)
B、创建共享文件夹Userinfo(为避免用户错误,我尽量详尽)
创建共享及并给用户以变更权限
使用[登陆到]與[脚本]實現限制域用户的并发登陆_第8张图片
因为我的硬盘是NTFS分区,所以在安全性这个选项卡里我们也要给用户权限,同样是变更的权限。
使用[登陆到]與[脚本]實現限制域用户的并发登陆_第9张图片
C、创建组策略(在这里因为我有安装GPMC管理工具,所以以下过程跟没有装GPMC的用户可能略有不同,这里需要你的注意哟,如果你没有安装GPMC,博主在此建议你安装一个,这个工具好处真的没得说!使用过的朋友都知道)
现在我就要针对管理部这个OU进行测试!新建一条[限制域用户多点登录]的策略。
使用[登陆到]與[脚本]實現限制域用户的并发登陆_第10张图片
开始将我们的login.vbs这个脚本加入到启动指令中。(繁体的说法就是复杂,中文的是启动脚本)
找到指令码的位置(抱歉,由于最近一直在使用繁体的系统,
使用[登陆到]與[脚本]實現限制域用户的并发登陆_第11张图片
设置登入的指令码。点击新增——浏览
使用[登陆到]與[脚本]實現限制域用户的并发登陆_第12张图片
现在我们找到login.vbs的位置,你可以将你的VBS文件复制进去(这里很重要,千万不要自做主张更换位置,因为组策略运行的脚本是需要是URL路径的),图中使用的就是默认路径!
使用[登陆到]與[脚本]實現限制域用户的并发登陆_第13张图片
选择login.vbs,
使用[登陆到]與[脚本]實現限制域用户的并发登陆_第14张图片
在这里logoff.vbs的选择跟login.vbs是一样,就不再详述。在此就贴几张图出来吧!
使用[登陆到]與[脚本]實現限制域用户的并发登陆_第15张图片
使用[登陆到]與[脚本]實現限制域用户的并发登陆_第16张图片
在这一切设置完毕之后,为了加速就用的时候,我们在GPMC管理工具上将这个策略设置成强制。并重启我们的客户端计算机,当然你也可以先执行gpupdate /force 这个命令来强行的刷新组策略!
将这个策略设置成强制。
使用[登陆到]與[脚本]實現限制域用户的并发登陆_第17张图片
使用[登陆到]與[脚本]實現限制域用户的并发登陆_第18张图片
刷一下客户端组策略吧!
使用[登陆到]與[脚本]實現限制域用户的并发登陆_第19张图片
经笔者测试多次,确定脚本无误!花了笔者两个小时的时间啊!现在我们来确定一下,客户机是否有应到我们设定的组策略。
使用[登陆到]與[脚本]實現限制域用户的并发登陆_第20张图片
使用[登陆到]與[脚本]實現限制域用户的并发登陆_第21张图片
不错,成功应用了!好的,现在我们就增多一台客户机,使用一个账户登入两台机试试!新增机器为SMS(2003系统,没办法那XP太郁闷一直都PING不能,就用2003吧,凡正都一样的)
这两天不知道出怎么回事,虚拟机老是出这样那样的奇怪的问题,搞是实验都无心去做了,还好我还是比较的有耐心,要不然这篇博文是出不来了。。。 这个破虚拟机差点把我给搞死,这破解版的,总还是不那么可靠,完成这个系统之后,一定要重建!
我就趁我那虚拟机在安装的时间跟大家讲讲使用脚本的原理吧!
其实那两个脚本是用来记录用户所登入与登出的计算机时间,在一个用户登入后,会立即写下当前的记录,如果用户使用同一个账户在另一个计算机上登录时就会报警。现在我们来看看用户登陆后,在共享资料夹里产生的文件!它的文件命名方式以用户的登陆名为主!
下面这个文件是MIS-04登入计算机后产生的,我们可以清楚的看到MIS-04这个用户所登入的计算机及时间!通过这种方式,如果MIS-04再登入其他的电脑的话,VBS会检查这个档里面的信息,当他发现MIS-04已经登入一台电脑了,并且没有注销。它就会自动退出!
使用[登陆到]與[脚本]實現限制域用户的并发登陆_第22张图片
现在我们测试一下,使用MIS-04同时登入两台客户机[07D225E440BB471]和[SMS]上。大家仔细看下:
使用[登陆到]與[脚本]實現限制域用户的并发登陆_第23张图片 使用[登陆到]與[脚本]實現限制域用户的并发登陆_第24张图片
好,我先登入XP这台机,再登SMS这台机。看结果是怎样的?
XP登入成功!
使用[登陆到]與[脚本]實現限制域用户的并发登陆_第25张图片
SMS这台计算机登入后,就有脚本提示!并自动退回到登陆界面!
使用[登陆到]與[脚本]實現限制域用户的并发登陆_第26张图片
  使用[登陆到]與[脚本]實現限制域用户的并发登陆_第27张图片
操作完成。也成功的达到了限制域用户并发登陆的目的!总体而言这个还是比较简单的。网络管理员B这样描述:我一直在使用这个脚本,我觉得他非常的好,虽然我不会写VBS,但是只要灵活的运用,经常使用搜索引擎你都能找到你想要的!我希望这个方法能够被Myhat公司的网络管理员运用到!
博主说:
网络管理员A和B提供的方法都很棒!当然使用哪一个方法取决于你对活动目录及组策略的了解!博主觉得在大多数环境中,使用网络管理员B的方法是很不错的。
通过对域用户的并发登陆限制可以减少我们的PDC频繁验证的负荷,在用户安全性起到一定的作用,同时也会减少公司用户密码泄露的问题,相信本文能够能部分网络管理员起到帮助!