Я обнаружил, что пользователи в моем домене Active Directory могут одновременно входить в свою учетную запись много раз. Я имею в виду например 2 машины и при каждом входе в одну и ту же учетную запись.
Это хорошо? Я вижу проблему безопасности в этом способе поддержания пользовательских сеансов, потому что если кто-то будет знать пароль пользователя, тогда правильный пользователь учетной записи даже не знает, что кто-то вошел в его учетную запись. Локальный вход не позволит второму пользователю войти в систему без запроса на выход пользователя, и я думаю, что это хороший механизм. Другое дело, что работа 2-х на одной учетной записи может привести к потере данных при сохранении изменений в 1 синхронизированный файл (AD).
Я пытаюсь решить, что лучше: заблокировать (любым способом) возможность входить в учетную запись AD более одного раза или оставить все как есть для удобства.
Это в основном безвредно. Возможные проблемы с использованием параллельного входа могут возникнуть, если ваши пользователи используют перемещаемые профили или перенаправление папок на общие сетевые ресурсы.
Существуют способы ограничить возможность параллельного входа в систему:
Недостатком всех методов является то, что они инициируются клиентом в контексте вошедшего в систему пользователя - пользователь может просто прервать выполнение сценария / запроса выхода, чтобы предотвратить повторный выход из системы.
Это действительно зависит от вашей ситуации. Мы разрешаем большинству пользователей иметь более одного входа в систему на случай, если они переходят с одного стола на другой и им нужно только выполнить быстрый вход в другом месте. Приложения, которые они могут использовать, могут требовать единого входа в систему, но наша AD не так строга.
Если, однако, вы используете один логин для нескольких пользователей, это определенное нарушение безопасности. Каждый пользователь должен быть привязан к своей учетной записи.