|
大事件:用戶的賬戶被部分人使用
Myhat公司的網(wǎng)絡(luò)管理員最近發(fā)現(xiàn)部分用戶的賬戶被其他使用了,,特別是一些部門主管的用 戶。這可能是用戶無意間泄露了自己的密碼,,一旦有人想搞破壞,,那可就麻煩了!因?yàn)橐恍┎块T的賬戶可以進(jìn)入一些機(jī)密資料夾,!IT經(jīng)理得知這個(gè)情況后,,立即讓 網(wǎng)絡(luò)管理員找到最佳的方法來解決這個(gè)問題!當(dāng)前需要解決的是限制域用戶的并發(fā)登陸,!
網(wǎng)絡(luò)管理員的疑惑:公司有兩百多臺(tái)電腦,,應(yīng)該如何實(shí)現(xiàn) 呢?
 其實(shí)對(duì)于這個(gè)問題,,有部分公司是存在的,,不少網(wǎng)絡(luò)管理員也都有在遇到或是處理這個(gè)問題。帶 著這個(gè)問題,,博主找到了好友網(wǎng)絡(luò)管理員A,、B,采訪一下他們是如何來解決這個(gè)問題的,。希望博主的本期報(bào)到能給你提供幫助,!也希望你能對(duì)本博博主的繼續(xù)支 持!
環(huán)境描述:
1,、windows server 2003[域控制器]一臺(tái)
2,、客戶端XP一臺(tái)[已加入到域中,計(jì)算機(jī)名 [07D225E440BB471]
3,、測(cè)試賬戶gl-01顯示名稱為[管理部-陳明輝]及 mis-04
網(wǎng)絡(luò)管理員A:
我剛來公司的時(shí)候,,也是遇到這個(gè)問題。我的思路是:通用戶的賬戶屬性來來實(shí)現(xiàn)讓特定的用戶 登陸到特定的計(jì)算機(jī),,也就是通過用戶屬性里的登陸到這個(gè)選項(xiàng)來設(shè)置他所能登陸到的電腦,。
相關(guān)操作:
1、在此就以[管理部-陳明輝]為 例:
首先我們對(duì)這個(gè)用戶進(jìn)行[右擊——屬性] 的操作,并定位到[賬戶]選項(xiàng)卡處,!
 現(xiàn)在我們點(diǎn)擊[賬戶]選項(xiàng)卡下的[登入到]這個(gè)選項(xiàng)卡,,輸入[管理部-陳明輝]或[賬戶gl-01]所能登入的計(jì)算機(jī)名稱,,在這里我們輸入客戶端計(jì)算機(jī)的名稱。
 經(jīng)過以上的設(shè)定后,,gl-01這個(gè)賬戶只能夠登入到[07D225E440BB471]這臺(tái)計(jì)算機(jī),,不能登入其 他計(jì)算機(jī)。現(xiàn)在我們來看看:
 成功登錄,!
 現(xiàn)在我們來使用mis-04這個(gè)賬戶測(cè)試下,!首先我們對(duì)mis-04這個(gè)賬戶設(shè)置只能登陸到電腦xp-01
 現(xiàn)在讓mis-04來登陸[07D225E440BB471]這臺(tái)計(jì)算機(jī)!
 看看登錄的結(jié)果吧,!無法登陸到這臺(tái)計(jì)算機(jī)上,,并且mis-04只能登陸到XP-01這臺(tái)電腦!
 網(wǎng)絡(luò)管理員A
 總結(jié):我使用這個(gè)方法半年多了,,很棒,。但是我覺得它不夠靈活,因?yàn)橛袝r(shí)候,,因?yàn)槠渌男枰?,有的用戶需要使用其他用戶的電腦,這個(gè)時(shí)候我就需要手動(dòng)設(shè)置,, 有些麻煩,。不過總體而言,安全性是提高了,,沒有出現(xiàn)賬戶被人盜用的情況了,。建議一些小環(huán)境的網(wǎng)絡(luò)管理員可以試試!同時(shí)我也希望自己能夠幫到Myhat公司 的網(wǎng)絡(luò)管理員??!謝謝!網(wǎng)絡(luò)管理員B:
我的方法跟網(wǎng)絡(luò)管理員A略有區(qū)別,,他是通過手動(dòng)設(shè)定用戶的登陸到,,而我是能過腳本來實(shí)現(xiàn)的。相對(duì)而言,,就會(huì)比較 的簡(jiǎn)單?,F(xiàn)在我就先跟大家講操作,再講原理,!
 希望大家能夠喜歡,!現(xiàn)在我需要的資源如下:
1、準(zhǔn)備兩個(gè)腳本,。一個(gè)用于用戶登入時(shí)執(zhí)行的login.vbs,,另一個(gè)是用于注銷時(shí)使用的 logoff.vbs
2、為配合腳本,,我們需要在DC上創(chuàng)建一個(gè)共享文件夾,,讓所有用戶擁有更改的權(quán)限,!
3、建立一條組策略
A,、準(zhǔn)備腳本(我會(huì)在本文最后提供腳本給大家分享)
B,、創(chuàng)建共享文件夾Userinfo(為避免用戶錯(cuò)誤,我盡量詳盡)
創(chuàng)建共享及并給用戶以變更權(quán)限
 因?yàn)槲业挠脖P是NTFS分區(qū),,所以在安全性這個(gè)選項(xiàng)卡里我們也要給用戶權(quán)限,,同樣是變更的權(quán)限。
C,、創(chuàng)建組策略(在這里因?yàn)槲矣邪惭bGPMC管理工具,,所以以下過程跟沒有裝GPMC的用戶可能略有不同,,這里 需要你的注意喲,,如果你沒有安裝GPMC,博主在此建議你安裝一個(gè),,這個(gè)工具好處真的沒得說,!使用過的朋友都知道)
現(xiàn)在我就要針對(duì)管理部這個(gè)OU進(jìn)行測(cè)試!新建一條[限制域用戶多 點(diǎn)登錄]的策略,。
開始將我們的login.vbs這個(gè)腳本加入到啟動(dòng)指令中,。(繁體的說法就是復(fù)雜,中文的是啟動(dòng)腳本)
找到指令碼的位置(抱歉,,由于最近一直在使用繁體的系統(tǒng),,
設(shè)置登入的指令碼。點(diǎn)擊新增——瀏覽
現(xiàn)在我們找到login.vbs的位置,,你可以將你的VBS文件復(fù)制進(jìn)去(這里很重要,,千萬不要自做主張更換位 置,因?yàn)榻M策略運(yùn)行的腳本是需要是URL路徑的),,圖中使用的就是默認(rèn)路徑,!
選擇login.vbs,
在這里logoff.vbs的選擇跟login.vbs是一樣,,就不再詳述,。在此就貼幾張圖出來吧!
在這一切設(shè)置完畢之后,,為了加速就用的時(shí)候,,我們?cè)贕PMC管理工具上將這個(gè)策略設(shè)置成強(qiáng)制。并重啟我們的客戶 端計(jì)算機(jī),,當(dāng)然你也可以先執(zhí)行g(shù)pupdate /force 這個(gè)命令來強(qiáng)行的刷新組策略,!
將這個(gè)策略設(shè)置成強(qiáng)制。
刷一下客戶端組策略吧,!
經(jīng)筆者測(cè)試多次,,確定腳本無誤,!花了筆者兩個(gè)小時(shí)的時(shí)間啊,!現(xiàn)在我們來確定一下,,客戶機(jī)是否有應(yīng)到我們?cè)O(shè)定的組 策略。
不錯(cuò),,成功應(yīng)用了,!好的,現(xiàn)在我們就增多一臺(tái)客戶機(jī),,使用一個(gè)賬戶登入兩臺(tái)機(jī)試試,!新增機(jī)器為SMS(2003 系統(tǒng),沒辦法那XP太郁悶一直都PING不能,,就用2003吧,,凡正都一樣的)
這兩天不知道出怎么回事,虛擬機(jī)老是出這樣那樣的奇怪的問題,,搞是實(shí)驗(yàn)都無心去做了,,還好我還是比較的有耐心, 要不然這篇博文是出不來了,。,。。
這個(gè)破虛擬機(jī)差點(diǎn)把我給搞死,,這破解版的,,總還是不那么可靠,完成這個(gè)系統(tǒng)之后,,一定要重建,!我就趁我那虛擬機(jī)在安裝的時(shí)間跟大家講講使用腳本的原理吧!
其實(shí)那兩個(gè)腳本是用來記錄用戶所登入與登出的計(jì)算機(jī)時(shí)間,,在一個(gè)用戶登入后,,會(huì)立即寫下當(dāng)前的記錄,如果用戶使 用同一個(gè)賬戶在另一個(gè)計(jì)算機(jī)上登錄時(shí)就會(huì)報(bào)警?,F(xiàn)在我們來看看用戶登陸后,,在共享資料夾里產(chǎn)生的文件!它的文件命名方式以用戶的登陸名為主,!
下面這個(gè)文件是MIS-04登入計(jì)算機(jī)后產(chǎn)生的,,我們可以清楚的看到MIS-04這個(gè)用戶所登入的計(jì)算機(jī)及時(shí) 間!通過這種方式,,如果MIS-04再登入其他的電腦的話,,VBS會(huì)檢查這個(gè)檔里面的信息,當(dāng)他發(fā)現(xiàn)MIS-04已經(jīng)登入一臺(tái)電腦了,并且沒有注銷,。它就 會(huì)自動(dòng)退出,!
現(xiàn)在我們測(cè)試一下,使用MIS-04同時(shí)登入兩臺(tái)客戶機(jī)[07D225E440BB471]和[SMS]上,。大 家仔細(xì)看下:
好,,我先登入XP這臺(tái)機(jī),再登SMS這臺(tái)機(jī),??唇Y(jié)果是怎樣的?
XP登入成功,!
SMS這臺(tái)計(jì)算機(jī)登入后,,就有腳本提示!并自動(dòng)退回到登陸界面,!
操作完成,。也成功的達(dá)到了限制域用戶并發(fā)登陸的目的!總體而言這個(gè)還是比較簡(jiǎn)單的,。網(wǎng)絡(luò)管理員B這樣描述:我一 直在使用這個(gè)腳本,,我覺得他非常的好,,雖然我不會(huì)寫VBS,,但是只要靈活的運(yùn)用,經(jīng)常使用搜索引擎你都能找到你想要的,!我希望這個(gè)方法能夠被Myhat公 司的網(wǎng)絡(luò)管理員運(yùn)用到,!
博主說:
網(wǎng)絡(luò)管理員A和B提供的方法都很棒!當(dāng)然使用哪一個(gè)方法取決于你對(duì)活動(dòng)目錄及組策略的了解,!博主覺得在大多數(shù)環(huán) 境中,,使用網(wǎng)絡(luò)管理員B的方法是很不錯(cuò)的。
通過對(duì)域用戶的并發(fā)登陸限制可以減少我們的PDC頻繁驗(yàn)證的負(fù)荷,,在用戶安全性起到一定的作用,,同時(shí)也會(huì)減少公 司用戶密碼泄露的問題,相信本文能夠能部分網(wǎng)絡(luò)管理員起到幫助,!
本文出自 “陳寶城,,潛入技術(shù)的海洋” 博客,請(qǐng)務(wù)必保留此出處http://myhat.blog.51cto.com/391263/122534 附件下載:
兩個(gè)實(shí)驗(yàn)中的腳 本 |
|
|
