Как я могу заблокировать аккаунт после определенного количества успешных входов?

У меня есть VPN с удаленным доступом, которая аутентифицируется на сервере RSA SecurID, а также на Active Directory.

По сложным причинам внутренней политики кто-то сделал запрос о том, что мы можем приостановить доступ после определенного количества входов в систему на пользователя.

Например, пользователь john.doe может войти в систему 100 раз, но после этого его учетная запись будет отключена в AD, пока не будет восстановлена ​​вручную.

Мне трудно понять, как и где лучше всего это настроить.

Есть идеи?

1 ответ

Ограничение одновременных входов

Извините, встроенного метода Microsoft для ограничения одновременных входов пользователей в систему не существует. Однако на помощь пришли сторонние инструменты. Если вы используете Server 2003 (как вам не стыдно), то бесплатный инструмент LimitLogin может работать. Если вы используете 2008 R2 и выше, взгляните на UserLock. Это не бесплатно, но делает то, что вам нужно. Наконец, если у вас ограниченный бюджет, вы МОЖЕТЕ что-то написать. Здесь есть пример.

Например, вы можете создать компонент сценария входа в Windows, который сопоставит диск с общим каталогом домашнего каталога пользователя. Если не удается создать сопоставление, выведите ошибку и выйдите из системы. На общей папке домашнего каталога каждого пользователя вы устанавливаете максимальное число подключений равным 1. Когда пользователь входит в систему один раз, все хорошо. Однако, если сделать это дважды, получится уровень ошибки сетевого использования 1. Эта ошибка может быть зафиксирована в сценарии входа в систему для перенаправления на команду выхода из системы и выхода.

Также примеры сценария муара здесь и здесь. Удачи!

Ограничение общего количества логинов

Если - как предложено @JacobEvans - вы смотрите Общее количество входов в систему вместо параллелизма, тогда вы можете проверить атрибут AD Logon-Count. Уловка в том, что вам нужно сложить LogonCount со всех контроллеров домена. Я полагаю, вы хотите посмотреть, как подсчитать контроллеры домена и объединить здесь скрипт для подсчета входов в систему. Пример.

Set objUser = GetObject _

    (“LDAP://atl-dc-01/cn=ken myer, ou=Finance, dc=fabrikam, dc=com”)

Wscript.Echo objUser.LogonCount

Если сценарии не для вас, то платные инструменты, такие как ManageEngine или набор инструментов Netwrix, ДОЛЖНЫ иметь отчеты, в которых перечисляется количество входов пользователя в систему.

Другие вопросы по тегам