Как я могу заблокировать аккаунт после определенного количества успешных входов?
У меня есть VPN с удаленным доступом, которая аутентифицируется на сервере RSA SecurID, а также на Active Directory.
По сложным причинам внутренней политики кто-то сделал запрос о том, что мы можем приостановить доступ после определенного количества входов в систему на пользователя.
Например, пользователь john.doe может войти в систему 100 раз, но после этого его учетная запись будет отключена в AD, пока не будет восстановлена вручную.
Мне трудно понять, как и где лучше всего это настроить.
Есть идеи?
1 ответ
Ограничение одновременных входов
Извините, встроенного метода Microsoft для ограничения одновременных входов пользователей в систему не существует. Однако на помощь пришли сторонние инструменты. Если вы используете Server 2003 (как вам не стыдно), то бесплатный инструмент LimitLogin может работать. Если вы используете 2008 R2 и выше, взгляните на UserLock. Это не бесплатно, но делает то, что вам нужно. Наконец, если у вас ограниченный бюджет, вы МОЖЕТЕ что-то написать. Здесь есть пример.
Например, вы можете создать компонент сценария входа в Windows, который сопоставит диск с общим каталогом домашнего каталога пользователя. Если не удается создать сопоставление, выведите ошибку и выйдите из системы. На общей папке домашнего каталога каждого пользователя вы устанавливаете максимальное число подключений равным 1. Когда пользователь входит в систему один раз, все хорошо. Однако, если сделать это дважды, получится уровень ошибки сетевого использования 1. Эта ошибка может быть зафиксирована в сценарии входа в систему для перенаправления на команду выхода из системы и выхода.
Также примеры сценария муара здесь и здесь. Удачи!
Ограничение общего количества логинов
Если - как предложено @JacobEvans - вы смотрите Общее количество входов в систему вместо параллелизма, тогда вы можете проверить атрибут AD Logon-Count. Уловка в том, что вам нужно сложить LogonCount со всех контроллеров домена. Я полагаю, вы хотите посмотреть, как подсчитать контроллеры домена и объединить здесь скрипт для подсчета входов в систему. Пример.
Set objUser = GetObject _
(“LDAP://atl-dc-01/cn=ken myer, ou=Finance, dc=fabrikam, dc=com”)
Wscript.Echo objUser.LogonCount
Если сценарии не для вас, то платные инструменты, такие как ManageEngine или набор инструментов Netwrix, ДОЛЖНЫ иметь отчеты, в которых перечисляется количество входов пользователя в систему.