насчёт "ламерюг" не торопись20.04.04 14:24 Число просмотров: 1476 Автор: Deviator <n/a> Статус: Member Отредактировано 20.04.04 14:29 Количество правок: 1
запрет входа на разные компы в одно и тоже время под одной учётной записью домена?07.04.04 17:40 Автор: neva102 Статус: Незарегистрированный пользователь
Как в домене Win2000 запретить входить на несколько компов в одно и тоже время под одной учётной записью ? Без этого хоть на всех машинах могут работать под одной учётноой записью домена, со всеми вытекающими :(
Может этот метод и к Виндовсу можно применить: По крайней...09.04.04 10:39 Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman Отредактировано 09.04.04 10:40 Количество правок: 1
> Как в домене Win2000 запретить входить на несколько компов > в одно и тоже время под одной учётной записью ? Без этого > хоть на всех машинах могут работать под одной учётноой > записью домена, со всеми вытекающими :( Может этот метод и к Виндовсу можно применить: По крайней мере в Юниксах можно сделать так, чтоб у юзера при логине батничик выполнялся (на этот батничик надо права соответственно выставить, чтоб юзер его поменять не смог, а выполнить смог). В этом батничке можно проверить зарегистрирован ли уже этот юзер в системе, если да, то "до свидания".
Вот это то что надо, только как это в Win2000 домен...09.04.04 11:31 Автор: neva102 Статус: Незарегистрированный пользователь
> > Как в домене Win2000 запретить входить на несколько > компов > > в одно и тоже время под одной учётной записью ? Без > этого > > хоть на всех машинах могут работать под одной учётноой > > записью домена, со всеми вытекающими :( > Может этот метод и к Виндовсу можно применить: По крайней > мере в Юниксах можно сделать так, чтоб у юзера при логине > батничик выполнялся (на этот батничик надо права > соответственно выставить, чтоб юзер его поменять не смог, а > выполнить смог). В этом батничке можно проверить > зарегистрирован ли уже этот юзер в системе, если да, то "до > свидания".
Вот это то что надо, только как это в Win2000 домен прикрутить и нет ли готового решения?
Это не так-то просто...09.04.04 13:16 Автор: Den <Денис Т.> Статус: The Elderman
Для подобного решения придется писать прогу (вряд ли для подобных случаев кто-то, что-то уже написал). Так же есть основания полагать, что придется писать свой GINA драйвер.
Можно попробовать следующий вариант:
1. Поставить в сеть Novell NetWare сервер 5.0 или выше (для этого можно приспособить любое свободное железо).
2. Синхронизировать учетные записи пользователей в AD с сервером NetWare (имеется ввиду синхронизация имен пользователей и паролей).
3. На рабочих станциях поставить первую авторизацию через NetWare.
готовое решение от MS20.04.04 10:41 Автор: neva102 Статус: Незарегистрированный пользователь
> Для подобного решения придется писать прогу (вряд ли для > подобных случаев кто-то, что-то уже написал). Так же есть > основания полагать, что придется писать свой GINA драйвер. > > Можно попробовать следующий вариант: > 1. Поставить в сеть Novell NetWare сервер 5.0 или выше (для > этого можно приспособить любое свободное железо). > > 2. Синхронизировать учетные записи пользователей в AD с > сервером NetWare (имеется ввиду синхронизация имен > пользователей и паролей). > > 3. На рабочих станциях поставить первую авторизацию через > NetWare.
Нечто подобное плавало в голове, но я посчитал эту мысль никуда не годной, т.к. можно себе представить кол-во шар на предприятии с более сотни пользователей и работу администратора по созданию этих шар.
А пример скрипта в разделе Implement Concurrent Logon Restrictions явно писал ламерюга. На мой взгляд он должен выглядеть так:
net use T: /delete
net use T: \\<Servername>\<sharename>
if exist T:\nul goto end
echo Y | logoff.exe
:end
---
P.S. Сказанное выше относиться к KB260364.
Комментарий к KB237282 и к моему предыдущему посту на:
> Для подобного решения придется писать прогу > (вряд ли для подобных случаев кто-то, что-то уже написал).
Как я ошибался... :))) M$ сама написала прогу для подобных случаев.
насчёт "ламерюг" не торопись20.04.04 14:24 Автор: Deviator <n/a> Статус: Member Отредактировано 20.04.04 14:29 Количество правок: 1
Если у тебя пользователи не прыгают с одного компа на другой, то в AD, по аналогии с доменом Windows NT, должен быть для каждого пользователя список имен рабочих станций, с которых он может логиниться в домен.
В идеалогии MS изначально заложено понятие IntelliMirror - Это означает, что вместе с пользователем путешествуют и его персональные данные, не зависимо от того на какой раб. станции он сел работать.
Это достигается засчёт:
1) Мапирования дисков
2) Включением в локальные группы доменных рабочих станций типовых доменных групп.
3) Перемещаемых профилей, хранимых на серверах
4) Доменными политиками, позволяющими перенаправлять элементы интерфейса пользователя (напимер некоторые папки профиля [Мои Документы, Мои Рисунки]) и осуществляющими настройку среды пользователя.
5) Хранением почтовых сообщений на серверах MS Exchange
6) Офлайн общими файловыми папками и офлайн папками почтовых ящиков MS Exchange
Для блокирования доступа любого пользователя домена на рабочие станции есть фктически два способа:
1) В свойствах пользователя в AD указать, конкретно на какие рабочие станции (по именам) он может логиниться. Для этого требуется, чтобы в сети корректно работал NetBIOS и как следствие желательно поднимать WINS.
2) С помошью групповой политики (Restricted Groups) исключить группу Domain Users из локальной группы Users на рабочих станциях, а легитимных пользователей включить в группу Power Users. Как вариация на тему - с использованием WMI создать на всех компьютерах локальную группу безопастности WorkUsers, руками включить в неё легитимных пользователей, а с помошью групповой политики домена (Restricted Groups) исключить группу Domain Users из локальной группы Users и включить в неё группу WorkUsers.
Спасибо за советы, но дело в том что мне надо чтобы скажем...09.04.04 09:47 Автор: neva102 Статус: Незарегистрированный пользователь
> В идеалогии MS изначально заложено понятие IntelliMirror -.................. локальной группы Users и включить в неё группу WorkUsers.
Спасибо за советы, но дело в том что мне надо чтобы скажем любой пользователь мог в любое время работать на любой машине И ПРИ ЭТОМ НЕ БЫЛО БЫ ОДНОВРЕМЕННО 2х и более залогинившихся под одной учётной записью.
Т.е. если User уже работает на комп1, то при попытке залогинится на комп2 опять таки под именем User выдавало что такой пользователь уже работает, используйте свою (другую -user2) учётную запись. Может это под Win2000 доменом и невозможно ? Просто в советах по настройках win2003server видел ответ что нельзя логинится Админом на контроллере домена если подкл. рабочую станцию, иначе может не вкл. в домен (пишет такой пользователь уже используется)
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
