Як встановити обмеження кількості одночасних сеансів для користувача в домені AD
Питання:Як встановити обмеження кількості одночасних сеансів для користувача в домені AD?
Відповідь:Для цієї мети Microsoft пропонує окрему утиліту LimitLogin. Ця утиліта зберігає відомості про реєстрацію користувачів в розділі AD, що настроюється (dc=limitlogin, dc= , dc= ; наприклад, dc=limitlogin,dc=savilltech,dc=com) через Microsoft IIS 6.0 (Windows Server 2003), Web-служба, клієнтський компонент та сценарії реєстрації та завершення сеансу з мережі.
Після того, як ви завантажили файл, розпакуйте його у вибраний каталог. Повна конфігурація вимагає змінити схему лісу AD для створення області, де зберігатиметься розширена інформація про стан реєстрації. Оскільки при цьому створюється прикладний розділ AD, ваша мережа повинна містити принаймні один контролер домену Windows 2003. Для встановлення LimitLogin потрібно виконати такі дії:
1. Скористайтеся програмою встановлення/видалення програм панелі керування Windows для встановлення IIS та ASP.NET на сервері, який буде виступати в ролі хоста Web-служби LimitLogin (Add/Remove Programs - Windows Components - Application Server).
2. Дозвольте використання ASP.NET як модуля розширення Internet Information Services (IIS) Manager на панелі навігації Web Service Extensions. Переконайтеся, що ASP.NET позначено як Allowed на панелі відомостей, як показано на малюнку 1.
3. Перейдіть до папки, в яку розпаковано інсталяційний дистрибутив і виконайте LimiLoginIISSetup.msi для встановлення Web-служби LimitLogin (для цього необхідно зареєструватися в системі з правами адміністратора). У діалоговому вікні вітання натисніть кнопку Next.
4. Вам буде запропоновано вказати ім'я віртуального каталогу для використання Web-службою та номерпорту (зазвичай тут можна залишити значення за замовчуванням). Натисніть кнопку Next.
5. Натисніть кнопку Next (Далі), а потім натисніть кнопку Close, щоб завершити інсталяцію веб-служби. Тепер, якщо запустити IIS Manager, ви побачите новий каталог WSLimitLogin у розділі Default Web Site.
6. Для підготовки AD виконайте LimitLoginADSetup.msi та клацніть Next у вікні запрошення.
7. У вікні ліцензійної угоди позначте 'I agree' і натисніть кнопку Next.
8. Виберіть папку для встановлення (за промовчанням буде запропоновано C:\program files\limitlogin) і клацніть Next.
9. Програма установки AD запропонує виконати підготовку лісу та домену та встановлення оснастки LimitLogin консолі управління MMC, як показано на малюнку 2. Клацніть Next. Ця операція повинна виконуватися від імені облікового запису з правами Schema Admin, причому Schema Master FSMO має бути доступним.
10. Програма установки запропонує перевірити, чи маєте ви достатні повноваження зміни схеми AD. Натисніть кнопку OK.
11. Ви побачите діалогове вікно з повідомленням про успішне внесення змін до розділу лісу та зміну схеми. Натисніть кнопку ОК.
13. Виберіть контролер домену (має працювати під керуванням Windows 2003), на якому буде розміщено прикладний розділ для LimitLogin, як показано на малюнку 4. Клацніть Next.
14. Для створення розділу схеми AD можна вказати ім'я та пароль облікового запису з достатніми повноваженнями, або, якщо ви вже маєте необхідні повноваження, слід скинути прапорець 'Use the following credentials' і натиснути Create.
15. У вікні повідомлення про успішне створення клацніть OK.
16. Вам доведеться вручну скопіювати файли LimitLogin.wsdl, llogin.vbs та llogoff.vbs з папки C:\program files\limitlogin\scripts у загальний каталог, який був створений на кроці 12.діалоговому вікні Final Steps позначте 'I`ve read the instructions and will perform these steps manually' (див. малюнок 5) і натисніть кнопку Next.
17. Клацніть Close.
Після цього потрібно встановити LimitLogonClientSetup.msi на комп'ютери в мережі. Це можна зробити за допомогою сценарію реєстрації в мережі, групові політики через Microsoft Systems Management Server (SMS). Встановлювані частини містять модулі, що виконуються на комп'ютерах клієнта, які звертаються до Web-служби IIS, що відстежує реєстрацію користувачів в мережі.
Крім того, потрібно налаштувати групові політики для виконання сценаріїв llogin.vbs та llogoff.vbs. Щоб зробити це на рівні домену, виконайте такі дії:
1. Створіть новий об'єкт групової політики GPO з назвою LimitLogon і встановіть його на рівень домену, як показано на малюнку 6. Для цього в Active Directory Users and Computers клацніть правою кнопкою миші на рівні домену, виберіть Properties, перейдіть на вкладку Group Policy і клацніть New. Введіть ім'я LimitLogon.
3. Перейдіть по гілці User Configuration - Windows Settings - Scripts (Logon/Logoff).
4. Двічі клацніть Logon у правій панелі та натисніть Add.
5. Введіть ім'я сценарію та шлях для запуску із загального каталогу (в моєму випадку \savdaldc01\limitlogon$\llogin.vbs) і натисніть OK.
6. Двічі клацніть Logoff у правій панелі та натисніть Add.
7. Введіть ім'я сценарію та шлях для запуску із загального каталогу (в моєму випадку \savdaldc01\limitlogon$\llogoff.vbs) і натисніть OK.
В результаті цього процесу в каталозі C:\program files\limitlogin буде створено файл LimitLoginMMCSetup.exe, при запуску якого LimitLogin буде вбудована безпосередньо в оснастку AD Users and Computers консолі управління MMC, а в контекстномуУ меню з'явиться новий елемент LimitLogin Tasks. При виборі цього елемента для вибраного користувача буде відкрито вікно Configure LimitLogin, наведене на малюнку 7. Слід встановити LimitLogin на всіх комп'ютерах, з яких виконується запуск оснастки Active Directory Users and Computers. Для цього потрібно виконати інсталяцію LimitLoginADSetup.msi і в процесі інсталяції вибрати варіант 'Install LimitLogin Active Directory MMC snap-in integration tools on this machine'.
Натисніть Configure, щоб визначити кількість дозволених одночасних реєстрацій користувача в мережі (див. малюнок 8).
Спроба користувача зареєструватися, коли дозволена кількість реєстрацій вже досягнута, викличе відключення користувача, а журнал Application на сервері LimitLogon буде занесено подію з кодом ID 8811, як показано на малюнку 9.
Тут наведено лише основні відомості про LimitLogin. Повна інформація міститься у довідковому файлі, що входить до комплекту інсталяції. При використанні LimitLogin слід враховувати, що деякі антивіруси та антишпигунські програми можуть спробувати заблокувати виконання сценаріїв, тому доведеться налаштувати ці програми для дозволу запуску використовуваних сценаріїв.