使用[登陆到]與[脚本]實現限制域用户的并发登陆
2010-06-09 17:38
274 查看
大事件:用户的账户被部分人使用
Myhat公司的网络管理员最近发现部分用户的账户被其他使用了,特别是一些部门主管的用 户。这可能是用户无意间泄露了自己的密码,一旦有人想搞破坏,那可就麻烦了!因为一些部门的账户可以进入一些机密资料夹!IT经理得知这个情况后,立即让 网络管理员找到最佳的方法来解决这个问题!当前需要解决的是限制域用户的并发登陆!
网络管理员的疑惑:公司有两百多台电脑,应该如何实现 呢?
其实对于这个问题,有部分公司是存在的,不少网络管理员也都有在遇到或是处理这个问题。带 着这个问题,博主找到了好友网络管理员A、B,采访一下他们是如何来解决这个问题的。希望博主的本期报到能给你提供帮助!也希望你能对本博博主的继续支 持!
环境描述:
1、windows server 2003[域控制器]一台
2、客户端XP一台[已加入到域中,计算机名 [07D225E440BB471]
3、测试账户gl-01显示名称为[管理部-陈明辉]及 mis-04
网络管理员A:
我刚来公司的时候,也是遇到这个问题。我的思路是:通用户的账户属性来来实现让特定的用户 登陆到特定的计算机,也就是通过用户属性里的登陆到这个选项来设置他所能登陆到的电脑。
相关操作:
1、在此就以[管理部-陈明辉]为 例:
首先我们对这个用户进行[右击——属性] 的操作,并定位到[账户]选项卡处!
现在我们点击[账户]选项卡下的[登入到]这个选项卡,输入[管理部-陈明辉]或[账户gl-01]所能登入的计算机名称,在这里我们输入客户端计算机的名称。
经过以上的设定后,gl-01这个账户只能够登入到[07D225E440BB471]这台计算机,不能登入其 他计算机。现在我们来看看:
成功登录!
现在我们来使用mis-04这个账户测试下!首先我们对mis-04这个账户设置只能登陆到电脑xp-01
现在让mis-04来登陆[07D225E440BB471]这台计算机!
看看登录的结果吧!无法登陆到这台计算机上,并且mis-04只能登陆到XP-01这台电脑!
网络管理员A
总结:我使用这个方法半年多了,很棒。但是我觉得它不够灵活,因为有时候,因为其他的需要,有的用户需要使用其他用户的电脑,这个时候我就需要手动设置, 有些麻烦。不过总体而言,安全性是提高了,没有出现账户被人盗用的情况了。建议一些小环境的网络管理员可以试试!同时我也希望自己能够帮到Myhat公司 的网络管理员啊!谢谢!
网络管理员B:
我的方法跟网络管理员A略有区别,他是通过手动设定用户的登陆到,而我是能过脚本来实现的。相对而言,就会比较 的简单。现在我就先跟大家讲操作,再讲原理!
希望大家能够喜欢!
现在我需要的资源如下:
1、准备两个脚本。一个用于用户登入时执行的login.vbs,另一个是用于注销时使用的 logoff.vbs
2、为配合脚本,我们需要在DC上创建一个共享文件夹,让所有用户拥有更改的权限!
3、建立一条组策略
A、准备脚本(我会在本文最后提供脚本给大家分享)
B、创建共享文件夹Userinfo(为避免用户错误,我尽量详尽)
创建共享及并给用户以变更权限
因为我的硬盘是NTFS分区,所以在安全性这个选项卡里我们也要给用户权限,同样是变更的权限。
C、创建组策略(在这里因为我有安装GPMC管理工具,所以以下过程跟没有装GPMC的用户可能略有不同,这里 需要你的注意哟,如果你没有安装GPMC,博主在此建议你安装一个,这个工具好处真的没得说!使用过的朋友都知道)
现在我就要针对管理部这个OU进行测试!新建一条[限制域用户多 点登录]的策略。
开始将我们的login.vbs这个脚本加入到启动指令中。(繁体的说法就是复杂,中文的是启动脚本)
找到指令码的位置(抱歉,由于最近一直在使用繁体的系统,
设置登入的指令码。点击新增——浏览
现在我们找到login.vbs的位置,你可以将你的VBS文件复制进去(这里很重要,千万不要自做主张更换位 置,因为组策略运行的脚本是需要是URL路径的),图中使用的就是默认路径!
选择login.vbs,
在这里logoff.vbs的选择跟login.vbs是一样,就不再详述。在此就贴几张图出来吧!
在这一切设置完毕之后,为了加速就用的时候,我们在GPMC管理工具上将这个策略设置成强制。并重启我们的客户 端计算机,当然你也可以先执行gpupdate /force 这个命令来强行的刷新组策略!
将这个策略设置成强制。
刷一下客户端组策略吧!
经笔者测试多次,确定脚本无误!花了笔者两个小时的时间啊!现在我们来确定一下,客户机是否有应到我们设定的组 策略。
不错,成功应用了!好的,现在我们就增多一台客户机,使用一个账户登入两台机试试!新增机器为SMS(2003 系统,没办法那XP太郁闷一直都PING不能,就用2003吧,凡正都一样的)
这两天不知道出怎么回事,虚拟机老是出这样那样的奇怪的问题,搞是实验都无心去做了,还好我还是比较的有耐心, 要不然这篇博文是出不来了。。。
这个破虚拟机差点把我给搞死,这破解版的,总还是不那么可靠,完成这个系统之后,一定要重建!
我就趁我那虚拟机在安装的时间跟大家讲讲使用脚本的原理吧!
其实那两个脚本是用来记录用户所登入与登出的计算机时间,在一个用户登入后,会立即写下当前的记录,如果用户使 用同一个账户在另一个计算机上登录时就会报警。现在我们来看看用户登陆后,在共享资料夹里产生的文件!它的文件命名方式以用户的登陆名为主!
下面这个文件是MIS-04登入计算机后产生的,我们可以清楚的看到MIS-04这个用户所登入的计算机及时 间!通过这种方式,如果MIS-04再登入其他的电脑的话,VBS会检查这个档里面的信息,当他发现MIS-04已经登入一台电脑了,并且没有注销。它就 会自动退出!
现在我们测试一下,使用MIS-04同时登入两台客户机[07D225E440BB471]和[SMS]上。大 家仔细看下:
好,我先登入XP这台机,再登SMS这台机。看结果是怎样的?
XP登入成功!
SMS这台计算机登入后,就有脚本提示!并自动退回到登陆界面!
操作完成。也成功的达到了限制域用户并发登陆的目的!总体而言这个还是比较简单的。网络管理员B这样描述:我一 直在使用这个脚本,我觉得他非常的好,虽然我不会写VBS,但是只要灵活的运用,经常使用搜索引擎你都能找到你想要的!我希望这个方法能够被Myhat公 司的网络管理员运用到!
博主说:
网络管理员A和B提供的方法都很棒!当然使用哪一个方法取决于你对活动目录及组策略的了解!博主觉得在大多数环 境中,使用网络管理员B的方法是很不错的。
通过对域用户的并发登陆限制可以减少我们的PDC频繁验证的负荷,在用户安全性起到一定的作用,同时也会减少公 司用户密码泄露的问题,相信本文能够能部分网络管理员起到帮助!
本文出自 “陈宝城,潜入技术的海洋” 博客,请务必保留此出处http://myhat.blog.51cto.com/391263/122534
本文出自 51CTO.COM技术博客
附件下载:
两个实验中的脚 本
Myhat公司的网络管理员最近发现部分用户的账户被其他使用了,特别是一些部门主管的用 户。这可能是用户无意间泄露了自己的密码,一旦有人想搞破坏,那可就麻烦了!因为一些部门的账户可以进入一些机密资料夹!IT经理得知这个情况后,立即让 网络管理员找到最佳的方法来解决这个问题!当前需要解决的是限制域用户的并发登陆!
网络管理员的疑惑:公司有两百多台电脑,应该如何实现 呢?
其实对于这个问题,有部分公司是存在的,不少网络管理员也都有在遇到或是处理这个问题。带 着这个问题,博主找到了好友网络管理员A、B,采访一下他们是如何来解决这个问题的。希望博主的本期报到能给你提供帮助!也希望你能对本博博主的继续支 持!
环境描述:
1、windows server 2003[域控制器]一台
2、客户端XP一台[已加入到域中,计算机名 [07D225E440BB471]
3、测试账户gl-01显示名称为[管理部-陈明辉]及 mis-04
网络管理员A:
我刚来公司的时候,也是遇到这个问题。我的思路是:通用户的账户属性来来实现让特定的用户 登陆到特定的计算机,也就是通过用户属性里的登陆到这个选项来设置他所能登陆到的电脑。
相关操作:
1、在此就以[管理部-陈明辉]为 例:
首先我们对这个用户进行[右击——属性] 的操作,并定位到[账户]选项卡处!
现在我们点击[账户]选项卡下的[登入到]这个选项卡,输入[管理部-陈明辉]或[账户gl-01]所能登入的计算机名称,在这里我们输入客户端计算机的名称。
经过以上的设定后,gl-01这个账户只能够登入到[07D225E440BB471]这台计算机,不能登入其 他计算机。现在我们来看看:
成功登录!
现在我们来使用mis-04这个账户测试下!首先我们对mis-04这个账户设置只能登陆到电脑xp-01
现在让mis-04来登陆[07D225E440BB471]这台计算机!
看看登录的结果吧!无法登陆到这台计算机上,并且mis-04只能登陆到XP-01这台电脑!
网络管理员A
总结:我使用这个方法半年多了,很棒。但是我觉得它不够灵活,因为有时候,因为其他的需要,有的用户需要使用其他用户的电脑,这个时候我就需要手动设置, 有些麻烦。不过总体而言,安全性是提高了,没有出现账户被人盗用的情况了。建议一些小环境的网络管理员可以试试!同时我也希望自己能够帮到Myhat公司 的网络管理员啊!谢谢!
网络管理员B:
我的方法跟网络管理员A略有区别,他是通过手动设定用户的登陆到,而我是能过脚本来实现的。相对而言,就会比较 的简单。现在我就先跟大家讲操作,再讲原理!
希望大家能够喜欢!
现在我需要的资源如下:
1、准备两个脚本。一个用于用户登入时执行的login.vbs,另一个是用于注销时使用的 logoff.vbs
2、为配合脚本,我们需要在DC上创建一个共享文件夹,让所有用户拥有更改的权限!
3、建立一条组策略
A、准备脚本(我会在本文最后提供脚本给大家分享)
B、创建共享文件夹Userinfo(为避免用户错误,我尽量详尽)
创建共享及并给用户以变更权限
因为我的硬盘是NTFS分区,所以在安全性这个选项卡里我们也要给用户权限,同样是变更的权限。
C、创建组策略(在这里因为我有安装GPMC管理工具,所以以下过程跟没有装GPMC的用户可能略有不同,这里 需要你的注意哟,如果你没有安装GPMC,博主在此建议你安装一个,这个工具好处真的没得说!使用过的朋友都知道)
现在我就要针对管理部这个OU进行测试!新建一条[限制域用户多 点登录]的策略。
开始将我们的login.vbs这个脚本加入到启动指令中。(繁体的说法就是复杂,中文的是启动脚本)
找到指令码的位置(抱歉,由于最近一直在使用繁体的系统,
设置登入的指令码。点击新增——浏览
现在我们找到login.vbs的位置,你可以将你的VBS文件复制进去(这里很重要,千万不要自做主张更换位 置,因为组策略运行的脚本是需要是URL路径的),图中使用的就是默认路径!
选择login.vbs,
在这里logoff.vbs的选择跟login.vbs是一样,就不再详述。在此就贴几张图出来吧!
在这一切设置完毕之后,为了加速就用的时候,我们在GPMC管理工具上将这个策略设置成强制。并重启我们的客户 端计算机,当然你也可以先执行gpupdate /force 这个命令来强行的刷新组策略!
将这个策略设置成强制。
刷一下客户端组策略吧!
经笔者测试多次,确定脚本无误!花了笔者两个小时的时间啊!现在我们来确定一下,客户机是否有应到我们设定的组 策略。
不错,成功应用了!好的,现在我们就增多一台客户机,使用一个账户登入两台机试试!新增机器为SMS(2003 系统,没办法那XP太郁闷一直都PING不能,就用2003吧,凡正都一样的)
这两天不知道出怎么回事,虚拟机老是出这样那样的奇怪的问题,搞是实验都无心去做了,还好我还是比较的有耐心, 要不然这篇博文是出不来了。。。
这个破虚拟机差点把我给搞死,这破解版的,总还是不那么可靠,完成这个系统之后,一定要重建!
我就趁我那虚拟机在安装的时间跟大家讲讲使用脚本的原理吧!
其实那两个脚本是用来记录用户所登入与登出的计算机时间,在一个用户登入后,会立即写下当前的记录,如果用户使 用同一个账户在另一个计算机上登录时就会报警。现在我们来看看用户登陆后,在共享资料夹里产生的文件!它的文件命名方式以用户的登陆名为主!
下面这个文件是MIS-04登入计算机后产生的,我们可以清楚的看到MIS-04这个用户所登入的计算机及时 间!通过这种方式,如果MIS-04再登入其他的电脑的话,VBS会检查这个档里面的信息,当他发现MIS-04已经登入一台电脑了,并且没有注销。它就 会自动退出!
现在我们测试一下,使用MIS-04同时登入两台客户机[07D225E440BB471]和[SMS]上。大 家仔细看下:
好,我先登入XP这台机,再登SMS这台机。看结果是怎样的?
XP登入成功!
SMS这台计算机登入后,就有脚本提示!并自动退回到登陆界面!
操作完成。也成功的达到了限制域用户并发登陆的目的!总体而言这个还是比较简单的。网络管理员B这样描述:我一 直在使用这个脚本,我觉得他非常的好,虽然我不会写VBS,但是只要灵活的运用,经常使用搜索引擎你都能找到你想要的!我希望这个方法能够被Myhat公 司的网络管理员运用到!
博主说:
网络管理员A和B提供的方法都很棒!当然使用哪一个方法取决于你对活动目录及组策略的了解!博主觉得在大多数环 境中,使用网络管理员B的方法是很不错的。
通过对域用户的并发登陆限制可以减少我们的PDC频繁验证的负荷,在用户安全性起到一定的作用,同时也会减少公 司用户密码泄露的问题,相信本文能够能部分网络管理员起到帮助!
本文出自 “陈宝城,潜入技术的海洋” 博客,请务必保留此出处http://myhat.blog.51cto.com/391263/122534
本文出自 51CTO.COM技术博客
附件下载:
两个实验中的脚 本
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 使用[登陆到]與[脚本]實現限制域用户的并发登陆 推荐
- pam限制哪些用户可以使用sshd服务登陆
- 限制多点并发登陆(脚本篇)
- 限制用户多点并发登陆
- Git Server - 限制 Git 用户使用SSH登陆操作
- ORACLE DBA学习笔记--使用LOGON TRIGGER限制用户登陆
- Linux 上如何创建新的用户,并让其在首次登陆后修改密码,并限制其允许使用的磁盘空间
- 限制用户多点并发登录之二“脚本”篇
- Linux 限制用户使用ssh和tty登陆
- 使用邮件监控ssh登陆用户shell脚本
- 如何使用脚本将域用户登陆power user本地组
- 限制用户多点并发登录之二“脚本”篇
- 限制用户多点并发登录之二——“脚本”
- 使用SYS用户远程登陆报权限不足的解决:ORA-01031: insufficient privileges
- iOS使用ASIHttpRequest+Json与服务器段脚本进行登陆验证
- 数据导入:从文本文件导入用户信息。数据导出:将用户信息导出到文本文件。 带参数的写法 适合登陆使用
- freeradius 2.2.5版本限制用户并发登录
- SAP系统中,用户登陆IP,主机名,使用事物代码的审计日志记录增强
- windows下共享用户在服务端被禁用后,使用新用户无法登陆共享的解决办法
- 一个查看全部用户的磁盘空间使用情况的脚本