Назад | Перейти на главную страницу

Как я могу заблокировать учетную запись после определенного количества успешных входов в систему?

У меня есть VPN с удаленным доступом, которая проверяется на сервере RSA SecurID, а также на Active Directory.

По сложным причинам внутренней политики кто-то сделал запрос, чтобы мы могли приостановить доступ после определенного количества входов в систему для каждого пользователя.

Например, пользователь john.doe может войти в систему 100 раз, но после этого его учетная запись будет отключена в AD до тех пор, пока не будет восстановлена ​​вручную.

Мне сложно понять, как и где лучше всего это настроить.

Любые идеи?

Ограничение одновременных входов в систему

Извините, встроенного метода Microsoft для ограничения одновременного входа пользователей в систему нет. Однако для этого на помощь пришли сторонние инструменты. Если вы используете Server 2003 (позор вам), то бесплатный LimitLogin инструмент может работать. Если вы используете 2008 R2 и выше, обратите внимание на UserLock. Это не бесплатно, но делает то, что вам нужно. Наконец, если у вас ограниченный бюджет, вы МОЖЕТЕ что-нибудь написать. Есть пример Вот.

Например, вы можете создать компонент сценария входа в Windows, который сопоставляет диск с общим домашним каталогом пользователя. Если не удается создать сопоставление, выйдите из системы и выйдите из системы. Для общего домашнего каталога каждого пользователя вы должны установить максимальное количество подключений равным 1. Когда пользователь входит в систему один раз, все в порядке. Однако, если сделать это дважды, уровень ошибки чистого использования будет равен 1. Эта ошибка может быть зафиксирована в сценарии входа в систему для перенаправления на команду выхода и выхода.

Также примеры сценариев муара Вот, и Вот. Удачи!

Ограничение общего числа входов в систему

Если - как предложил @JacobEvans - вы смотрите на общее количество входов в систему вместо параллелизма, тогда вы можете проверить атрибут AD Logon-Count. Загвоздка в том, что вам придется суммировать LogonCount со всех контроллеров домена. Я представляю, ты хочешь взглянуть Вот о том, как подсчитать DC и объединить скрипт здесь Вот для подсчета входов в систему. Пример.

Set objUser = GetObject _

    (“LDAP://atl-dc-01/cn=ken myer, ou=Finance, dc=fabrikam, dc=com”)

Wscript.Echo objUser.LogonCount

Если создание сценариев вам не нравится, тогда платные инструменты, такие как ManageEngine или Netwrix В наборе инструментов ДОЛЖНЫ быть отчеты, в которых указывается, сколько раз пользователь входил в систему.