我有一个远程访问VPN,它是针对RSA SecurID服务器进行身份validation的,也是针对Active Directory的。
由于复杂的内部政策原因,有人提出要求,我们可以在每个用户login一定次数后暂停访问。
例如,用户john.doe可以login100次,但在此之后,他的帐户将在AD中被禁用,直到手动恢复。
我很难弄清楚如何以及在哪里最好的configuration。
有任何想法吗?
没有内置的Microsoft方法来限制并发用户login,抱歉。 但是,第三方工具已经为此付出了努力。 如果你在Server 2003上(对你不好意思 ),那么免费的LimitLogin工具可能会工作。 如果你在2008 R2及以上,那么看看UserLock 。 这不是免费的,而是做你所需要的。 最后,如果你有预算,你可以编写一些东西。 这里有一个例子。
例如,您可以创build一个Windowslogin脚本组件,将驱动器映射到用户的主目录共享。 如果无法创build映射,则会出错并注销。 在每个用户的主目录共享上,您可以将最大连接数设置为1.当用户login一次时,一切正常。 但是,这样做两次将产生1的净使用错误级别。此错误可以在login脚本中捕获,以redirect到注销命令并退出。
这里也是莫尔脚本示例。 祝你好运!
如果 – 如@JacobEvansbuild议 – 您正在查看login的总数而不是并发,那么您可以检查AD属性Logon-Count 。 问题是,你必须将所有DC的LogonCount相加。 我想你想看看这里如何计数区议会,并在这里结合脚本如何计数login。 一个例子。
Set objUser = GetObject _ (“LDAP://atl-dc-01/cn=ken myer, ou=Finance, dc=fabrikam, dc=com”) Wscript.Echo objUser.LogonCount 如果脚本不是你的东西,那么像ManageEngine或Netwrix工具套件这样的付费工具可以报告列出用户login的次数。