Как да зададете ограничение за броя на едновременните сесии на потребител в AD домейн
Въпрос:Как мога да задам ограничение за едновременна сесия за потребител в домейн на AD?
Отговор:Microsoft предоставя отделна помощна програма LimitLogin за тази цел. Тази помощна програма записва потребителска информация за влизане в персонализиран AD дял (dc=limitlogin, dc=, dc=; например dc=limitlogin,dc=savilltech,dc=com) чрез Microsoft IIS 6.0 (Windows Server 2003), уеб услуга, клиентски компонент и скриптове за влизане и излизане от мрежата.
След като изтеглите файла, разархивирайте го в директория по ваш избор. Пълната конфигурация изисква да промените схемата на AD гората, за да създадете област, която ще съхранява разширена информация за състоянието на регистрация. Тъй като това създава дял на AD приложение, вашата мрежа трябва да съдържа поне един домейн контролер на Windows 2003. За да инсталирате LimitLogin, ще трябва да изпълните следните стъпки:
1. Използвайте приложението за добавяне/премахване на програми на контролния панел на Windows, за да инсталирате IIS и ASP.NET на сървъра, който ще хоства уеб услугата LimitLogin (Добавяне/премахване на програми - Компоненти на Windows - Сървър за приложения).
2. Активирайте ASP.NET като разширение на диспечера на интернет информационни услуги (IIS) в навигационния панел за разширения на уеб услуги. Уверете се, че ASP.NET е маркиран като Разрешено в панела с подробности, както е показано на Фигура 1.
3. Отидете до папката, в която инсталационната дистрибуция е била разопакована, и стартирайте LimiLoginIISSetup.msi, за да инсталирате уеб услугата LimitLogin (за да направите това, трябва да сте влезли в системата с администраторски права). В диалоговия прозорец за добре дошли щракнете върху Напред.
4. Ще бъдете подканени да въведете името на виртуалната директория, която да се използва от уеб услугата, и номерапорт (обикновено можете да оставите стойностите по подразбиране тук). Щракнете Напред.
5. Щракнете върху Напред, след това върху Затвори, за да завършите инсталирането на уеб услугата. Сега, ако стартирате IIS Manager, ще видите новата директория WSLimitLogin под Уеб сайт по подразбиране.
6 За да подготвите AD, стартирайте LimitLoginADSetup.msi и щракнете върху Напред при подканата.
7. В прозореца на лицензионното споразумение отметнете „Съгласен съм“ и щракнете върху Напред.
8. Изберете инсталационна папка (C:\program files\limitlogin ще бъде предложено по подразбиране) и щракнете върху Напред.
9. AD Setup ви подканва да подготвите гората и домейна и да инсталирате модула MMC LimitLogin, както е показано на Фигура 2. Щракнете върху Напред. Тази операция трябва да се извърши от името на акаунт с администраторски права на Schema и Schema Master FSMO трябва да е наличен.
10. Инсталаторът ще ви подкани да проверите дали имате достатъчно правомощия за промяна на AD схемата. Натиснете OK.
11. Ще видите диалогов прозорец, в който се посочва, че промените в горския дял и схемата са успешно променени. Натиснете OK.
13. Изберете домейн контролер (трябва да работи с Windows 2003), който ще хоства дяла на приложението за LimitLogin, както е показано на Фигура 4. Щракнете върху Напред.
14. За да създадете дяла на схемата на AD, можете да посочите име на акаунт и парола с достатъчно привилегии, или ако вече имате необходимите привилегии, можете да махнете отметката от „Използване на следните идентификационни данни“ и да щракнете върху Създаване.
15. В полето за съобщение за успешно създаване щракнете върху OK.
16. Ще трябва ръчно да копирате файловете LimitLogin.wsdl, llogin.vbs и llogoff.vbs от папката C:\program files\limitlogin\scripts в споделената директория, създадена в стъпка 12. ВВ диалоговия прозорец „Последни стъпки“ отметнете „Прочетох инструкциите и ще изпълня тези стъпки ръчно“ (вижте Фигура 5) и щракнете върху „Напред“.
17. Щракнете върху Затвори.
След това трябва да инсталирате LimitLogonClientSetup.msi на компютрите в мрежата. Това може да стане с помощта на скрипт за влизане в мрежата, групови правила чрез Microsoft Systems Management Server (SMS). Инсталируемите части съдържат модули, които работят на клиентски компютри и осъществяват достъп до уеб услугата Internet Information Services (IIS), която следи влизането на потребителите в мрежата.
Ще трябва също така да конфигурирате групови правила, за да изпълнявате скриптовете llogin.vbs и llogoff.vbs. За да направите това на ниво домейн, изпълнете следните стъпки:
1. Създайте нов GPO, наречен LimitLogon, и го задайте на ниво домейн, както е показано на Фигура 6. За да направите това, в Active Directory Users and Computers, щракнете с десния бутон върху нивото на домейна, изберете Properties, отидете на раздела Group Policy и щракнете върху New. Въведете името LimitLogon.
3. Следвайте клона Потребителска конфигурация - Настройки на Windows - Скриптове (Влизане/Излизане).
4. Щракнете двукратно върху Влизане в десния панел и щракнете върху Добавяне.
5. Въведете името на скрипта и пътя за изпълнение от споделената директория (в моя случай \\savdaldc01\limitlogon$\llogin.vbs) и щракнете върху OK.
6. Щракнете двукратно върху Изход в десния панел и щракнете върху Добавяне.
7. Въведете името на скрипта и пътя за изпълнение от споделената директория (в моя случай \\savdaldc01\limitlogon$\llogoff.vbs) и щракнете върху OK.
В резултат на този процес файлът LimitLoginMMCSetup.exe ще бъде създаден в директорията C:\program files\limitlogin. Когато се стартира, LimitLogin ще бъде вграден директно в модула AD Users and Computers на конзолата за управление на MMC и в контекстав менюто ще се появи нов елемент, LimitLogin Tasks. Избирането на този елемент ще отвори конфигурационния прозорец Configure LimitLogin за избрания потребител, както е показано на Фигура 7. Трябва да инсталирате LimitLogin на всички компютри, от които стартирате модула Active Directory Users and Computers. Това изисква да инсталирате LimitLoginADSetup.msi и да изберете опцията „Инсталиране на LimitLogin Active Directory MMC интеграционни инструменти за интегриране на тази машина“ по време на инсталацията.
Щракнете върху Конфигуриране, за да зададете броя на едновременните потребителски влизания, разрешени в мрежата (вижте Фигура 8).
Опит на потребител да влезе, когато разрешеният брой влизания вече е достигнат, ще доведе до излизане на потребителя и събитие ID 8811 ще бъде регистрирано в регистрационния файл на приложението на сървъра LimitLogon, както е показано на Фигура 9.
Това е само основната информация за LimitLogin. За пълна информация вижте помощния файл, включен в инсталацията. Когато използвате LimitLogin, имайте предвид, че някои антивирусни и антишпионски програми може да се опитат да блокират изпълнението на скриптове, така че ще трябва да конфигурирате тези програми, за да позволите на скриптовете, които използвате, да се изпълняват.