本文是《限制用户多点并发登录》系列文章中的最后一篇,同时也是压轴篇。在这里,我要隆重向大家推荐第三方厂商ISDecisions出的UserLock。相信大家对它一定不会陌生。它的优势明显盖过前面我所介绍的工具和方法。OK,就让我们来了解一下该软件的主要功能模块:
1.限制用户并发登录的阀值
2.查看用户登录信息以及状态
3.通过活动目录对计算机进行管理
4.生成详细报表,方便安全审计
5.使用自带的客户端发布功能,将客户端Agent自动发布到AD用户的计算机上
6.和活动相目录结合,读取DC中已经添加完成的用户
7.类似MMC控制台界面,可以让用户方便使用
8.方便数据库接口,系统自带的Access数据库,支持其他常见的数据库,如SQL Server
测试环境
环境和前面系列文章中的一样。
在这个演示中,我把Userlock服务端直接安装在域控制器上。
安装配置 1).如需下载该软件或了解该软件的最新信息,请访问官方主页: http://www.isdecisions.com/,最新版本为4.0 2).将下载到的文件UserLock_X86.msi进行安装。图示安装步骤: 1.弹出软件安装向导,如图1 2.同意协议,如图2 3.输入用户和组织信息,如图3 4.4.选择安装类型,如图4,建议选择完全安装以使用全部功能 5.开始正式安装,如图5 6.软件安装完成,如图6 |
7.开始进入Userlock的配置向导,如图7 8.因为我要把软件安装在我唯一的域控制器上,所以我选择“Primary Server”,如图8 9.选择服务器的管理区域,如图9.因为我的环境是单域单森林,所以选择ALL和选择下面的A是等效的。 |
10.Userlock是以服务形式存在的,所以需要输入一个服务帐号,不推荐使用本地系统帐号的权限来运行服务。如图10 11.最后配置完成,可以查看前面的服务是否成功注册、配置及启动起来。如图11 12.OK,打开Userlock 管理控制台看看这个软件长啥模样。如图12.是不是界面很友好呢?不错,因为它采用的是我们熟悉的MMC管理单元,所以很容易上手哦。 |
3.分发客户端代理 1).Userlock服务端安装完毕后,并不表示就能工作起来,它还需要客户端安装好客户端代理组件才行。 从图12可以看出,Userlock已经检测到了3台计算机,其中包括服务端本身所在的DC,以及两台客户端ClientA和ClientB,不过代理的状态显示为“Not Installed”,所以我们需要分发客户端代理。不过,不要一听到还要安装客户端就犯愁,Userlock的客户端很好安装,直接在服务端就可以推下去,如图13: 另外,卸载和重启都可以在服务端完成,是不是很方便呢? |
13.JPG(42.82 KB)
2).按照上图的方法安装客户端后,会在Agent Status一栏看到ClientA当前正在安装。如图14。安装完毕后需要重启,重启过后会发现状态已经变为了“Installed”,表明已经成功完成客户端的安装。如图15. 3).同样的方法,对ClientB分发客户端代理。 4).如果遇到客户端代理组件无法安装的情况,请确保: a. 关闭XP的防火墙,或者打开“文件与打印机共享”。 b. 远程注册服务没有被停止 c. ADMIN$管理共享没有被关闭 d. 另外,最好是使用较新的版本,例如前面提到的4.0版本 |
4.定义通知消息 1).单击控制台左侧列表树的“Messages”,在右侧的列表中可以看到系统内置了一系列的预警消息,如图16。不过是英文的,可以自己根据需要修改成中文。 2). 单击右侧列表的“Logon_ Denied”禁止登录预警信息,可以将字段改为中文信息,比如:“禁止登录。您已经达到系统规定的最大连接数量!系统将自动注销!如果您要在该计算机上登录,请结束该帐号之前的登录会话或者直接联系系统管理员!”如图17。在客户端登录的时候,如果登录次数达到指定的阈值,则会接收到这个禁止登录的消息。 |
3).为了方便大家,我把其他的通知消息简单的翻译一下,希望对大家有用。
DENIED_WORKSTATION
由于管理员的限制,您不能从这台计算机上登录
INSTALL_WILL_REBOOT
为了完成UserLock客户端的安装,需要重新启动您的计算机
UNINSTALL_WILL_REBOOT
为了完成UserLock客户端的卸载,需要重新启动您的计算机
LOGON_NOTIFICATION_BODY
UserLock 登录通知
LOGON_NOTIFICATION_SUBJECT
用户 %user% 从计算机 %workstation% 登录,状态为 %status%
用户: %user%
工作站: %workstation%
打开的会话数: %nbsessions%
已使用的工作站: %sessions%
登录状态: %status%
(不要试图将%%翻译出来,这是内置的变量)
LOGOFF_NOTIFICATION_SUBJECT
用户 %user% 从计算机 %workstation% 注销
LOGOFF_NOTIFICATION_BODY
UserLock 注销通知
用户: %user%
工作站: %workstation%
打开的会话数: %nbsessions%
仍在使用中的工作站数: %sessions%
WELCOME_MESSAGE
欢迎登录 %workstation% !
您最后登录的计算机为 %lastworkstation% ,最后登录时间为 (%lastlogontime%)
距离您最后一次登录以来,UseLock 已拒绝您的帐号 %deniedlogons% 次无效登录
(消息如何自定制,就看各位需求及创意了。我在这里,也只是按照字面意思来翻译,也许并不完全符合上下文的意思)
5.制定限制策略 1).现在我们来为用户制定限制策略,亦即对用户帐号启用保护。右击控制台树中的“Protected Accounts”,选择“New User”(也可以对用户组启用保护),输入用户Bob以开启保护。如图18、19 2).右击Bob选择“属性”,弹出UserLock配置项,如图20 稍微解释一下各选项设置,从上至下依次为: 允许工作站会话数为 允许终端会话数为 总共允许的会话数为 是否显示欢迎消息(欢迎消息就是前面的WELCOME_MESSAGE字段) 是否为某个用户启用弹出通知,以及指定哪些情况下弹出通知 是否将通知通过邮件寄给某人,同样可以指定包括哪些登录注销事件 |
3).切换到用户属性的“Workstation”选项卡,可以进行如图21的设置,其中可以限制登录到哪台或哪些计算机,设置可以限制登录计算机的IP范围,不得不说真是强大。这里我限制为Bob只能在ClientA上登录。 |
21.JPG(27.79 KB)
验证登录 1).现在我们用bob这个帐号在ClientA上来登录。输入用户名和密码后,立即就接收到了欢迎消息(因为我们前面为bob用户启用了接收欢迎消息啊),如图22.点击“确定”后,顺利登入ClientA。 2).注意,如果是安装好客户端后首次登入系统,则有可能收到的欢迎消息里面关于上次登录计算机和上次登录时间为Unknown,那是因为是第一次登录,在Userlock的数据库中自然没有保存上次的登录记录。 3).保持Bob用户在ClientA上的登录状态,我们再次用Bob这个用户在ClientB上登录,看看会遇到什么情况。输入用户名和密码后,一点“确定”就收到了如图23的禁止登录通知。 4).试验做到这里我不得不打岔一下,我个人很喜欢Userlock禁止登录的这个地方。它是先检测当前帐号是否还允许登录再做放行禁行操作,类似进行“登录到”设置,而不是和前面文章介绍的“脚本篇”和“LimitLogin篇”一样,先登录再检查,如果不行再注销。再次对Userlock赞一个! 5).细心你也许发现了,为什么禁止登录的提示信息是这个而不是最早开始自定义的“禁止登录。您已经达到系统规定的最大连接数量!系统将自动注销!如果您要在该计算机上登录,请结束该帐号之前的登录会话或者直接联系系统管理员!”?呵呵,那是因为我们对Bob这个用户限制了登录工作站,如果取消这个限制,允许他登录到任何计算机,那么当会话数超过之前定义的值1后,就会收到不同的提示信息了。如图24 |
详尽的报表功能 1).该文章写到这似乎临近尾声了,但是我仍有点意犹未尽的感觉,总感觉还没有将这个工具详尽的介绍给大家。接下来,让我们看看UserLock在报表方面比前面的工具有哪些过之而无不及的地方。 2).先来看看基本的状态报告功能。单击控制台树中的“User Sessions”,在右边可以看到当前登录的用户为Bob,并且能查看到当前在哪台计算机上登录,上次登录和注销的计算机和时间。 3).再来看以用户为中心的报表功能。控制台树中的“User Sessions”,在右边空白处点击“User Sessions Report”,如图25.在如图26中,可以指定查询条件,而在如图27中,我们就可以看到对Bob登录注销事件的详细报表了,包括成功登录和失败的登录都有。 |
4).最后来见识一下以会话信息为中心的统计功能。同理,我们按图25同样的操作,选择“Session statistics report”,指定条件后运行查看结果,如图28. |
28.JPG(41.58 KB)
通过Web方式来管理Userlock 1).默认情况下,Userlock只能通过MMC管理控制台来进行管理。不过还是可以通过Web方式来进行管理的。通过WEB来管理,在由于特定原因不能安装管理控制台或者管理员身在外出想进行管理等场景中,就特别有用处了。下面介绍如何为Userlock开启Webadmin 2).安装IIS组件,记得安装并启用ASP组件,如图29和30,因为userlock的管理网站是基于ASP的。 |
3).为UserLock配置Webadmin。从开始菜单中打开Webadmin的配置工具,如图31,在图32中选择您需要将Webadmin安装到的哪个网站下,点击“Install”安装即可。接下来会提示安装成功。 4).打开浏览器,输入Userlock 的Web管理站点URL: http://dc.a.com/uladmin即可进行管理。限于篇幅,就不多介绍了。 |
其他说明 1).文章写到这里,相信大家见识到了Userlock的简单易用以及功能的强大了。其实还有好多地方需要大家自己去挖掘。例如如何在报表中定制公司的logo、如何配置使用其他的后台数据库等。 2).您在测试过程中,由于您使用的是试用版软件,所以有可能客户端登录的时候收到类似未注册的提示信息。一旦完成注册,如图33所示,就不会再收到烦人的提示信息。至于如何注册,在这里就不讨论了。 |
33.JPG(35.28 KB)
优点&缺点
优点:
简单易用,维护方便
功能强大
客户端能自动部署
报表功能超过同类所有工具
因为是收费软件,所以有服务支持
缺点
我认为唯一的缺点就是可定制性差,毕竟客户端已经封装成单独的组件,不允许再定制。
另外需要收费,不过这么强大的工具稍微交点钱也无所谓啦。