win2k\03: ограничить число одновременных входов?

[OneHero]

Народ, вопрос на 5 балов!

Исходные данные: домен win2k (можно 2003), клиенты win2k + чуть-чуть NT, пользователи должны свободно входить на локалку на любую тачку (можно даже про NT забить).

Цель: Запретить паре <домен Login1>-<Pass1> одновременно входить на локал на 2 (и более) компов в домене.

Пробовал по разному, политики смотрел - глухо...
Я что-то тривиальное пропустил или в win-де 2k-2003 этого нереализовано???

pS: На рескит 2003 просьба не посылать или скажите где ЭТО там есть!

Или может кто знает какие-нибудь сторонние разработки помогающие решить данную проблему?
(Смотри пост FantomIL)

[FantomIL]

Цитата:

входить на локал

Не совсем понятно, что ты имеешь в виду? Это на локальный компьютер или локальная сеть (домен).
Если локальный компьютер, то убери его (юзера) из локальных пользователей других машин, а если домен, то зайди в свойства активных директорий и активных юзеров на сервере и в свойствах юзера жестко привяжи его к машине с которой он может входить в домен.

[Drill]

FantomIL
Скорее всего OneHero имеет ввиду в домен только с одной машины (но любой)...такой вариант не припоминаю...

OneHero
а вот указать конкретные машины (одну, две...т.д), с которых можно входить в домен :
Active directory - конкретный user - свойства - учетная запись(закладка) - вход на... - только на указанные компьютеры - указываешь, с каких можно...

[OneHero]

Нет, в том то и беда, Drill все правильно понял :
вход доменного пользователя с любой тачки домена, но не более 1 входа одновременно.
А то они аккаунтами делятся и сидят по 10 Ваней Петровых и тд.

Привязка пользователей к компам совершенно не приемлема.

Ограничить число входов конкретного пользователя можно для терминального
подключения на сервер, но это не то!!!

[Drill]

OneHero
В свойствах юзера включи опцию "требовать смену пароля при следующем входе в систему" и отключи опцию "запретить смену пароля пользователем"...может они устанут делиться паролями или запутаются в их обилии...

[OneHero]

Drill, спасибо, но их ТРИ ТЫСЯЧИ !!!
И я этого точно не переживу

Добавлено через 4 минуты:
Кроме того они тут же сделают 2 рабочих пароля на логин - и как раньше

Добавлено через 16 минут:
Кстати тут идею подкинули - сервер лицензий. Можно ли это сделать с его помощью?
Если да то расскажите с чем этого сервера лицензий готовить?

[Drill]

Сервер лицензий — это компьютер, на котором выполняются Terminal Services Licensing. Сервер лицензий хранит информацию обо всех лицензиях на доступ к терминальным службам, установленных на терминальных серверах, и отслеживает их распределение клиентам. Для того чтобы сервер лицензий мог обслуживать клиентов терминального сервера, он должен быть соединен с ним по сети. После активизации сервер лицензий может обслуживать одновременно несколько терминальных серверов.

Цитата:

Ограничить число входов конкретного пользователя можно для терминального
подключения на сервер, но это не то!!!

[OneHero]

спасибо, я это уже читал в хелпе, только по английски
Я спрашивал можно ли это юзать не с терминалом, а для моей проблемы как-то приспособить?

[[smart]]

OneHero
А как ты себе представляешь реализацию блокировки многочисленных соединейний самбы методами операционной системы?

[OneHero]

2 Ardvark
Извини а Samb-ы у меня нет
Кроме того при входе пользователя на локальную тачку информация о его аккаунте проверяется в AD + есть аудит логинов и логофов. Логично, что возможно отследить сколько активных входов сейчас открыто под данным аккаунтом и совершенно непонятно почему мелкософтные такой фичи недают

[FantomIL]

Цитата:

Первоначальное сообщение от OneHero
Нет, в том то и беда, Drill все правильно понял :
вход доменного пользователя с любой тачки домена, но не более 1 входа одновременно.
А то они аккаунтами делятся и сидят по 10 Ваней Петровых и тд.

Привязка пользователей к компам совершенно не приемлема.

В таком случае, ИМХО, без привлечения каких либо сторонних разработок задача не решается. Микрософт никак не ограничивает количество одновременных входов в домен из под одного аккаунта.

[OneHero]

Хорошо, если все так плохо то может кто знает какие-нибудь сторонние разработки по теме?

[[smart]]

OneHero

Цитата:

Извини а Samb-ы у меня нет

Самба это и есть "сетевое окружение", только протокол это smb, если по научному!

Цитата:

Первоначальное сообщение от OneHero
Народ, вопрос на 5 балов!

Исходные данные: домен win2k (можно 2003), клиенты win2k + чуть-чуть NT, пользователи должны свободно входить на локалку на любую тачку (можно даже про NT забить).

Цель: Запретить паре <домен Login1>-<Pass1> одновременно входить на локал на 2 (и более) компов в домене.

Пробовал по разному, политики смотрел - глухо...
Я что-то тривиальное пропустил или в win-де 2k-2003 этого нереализовано???

pS: На рескит 2003 просьба не посылать или скажите где ЭТО там есть!

Или может кто знает какие-нибудь сторонние разработки помогающие решить данную проблему?
(Смотри пост FantomIL)

есть программа UserLock
http://www.isdecisions.com/index.cfm...ducts-UserLock
уверен - сам разберешся.

[OneHero]

2 Ardvark

Цитата:

Самба это и есть "сетевое окружение", только протокол это smb, если по научному!

Это все хорошо, но я невижу необходимости в ее установке для задач моей сети

2 exceter
!!!!!
Серийника случайно нет?

Добавлено через 4 минуты:
Сериал нашел - смотри тему Userlock for Windows 2000/Xp

Теперь уже из любопытства - почему сами микрософты это не сделали?

OneHero
Так эти пять баллов мои ?
серийка есть вроде,
не знаю почему не сделали сами Мелкие.

[Drill]

OneHero

Цитата:

Теперь уже из любопытства - почему сами микрософты это не сделали?

как вариант, можно попробовать использовать фильтры WMI (реализовано в Win2k и WinXP)
Фильтры WMI позволяют администратору создать запрос WMI для обработки действий объекта групповой политики и используются для обработки исключений.

[OneHero]

2Drill

А можно поподробнее: что за фильтры, где, как и так далее в 3-4 предложениях?
Альтернативное ПО - это хорошо, а родная примочка - лучше (Обычно )

[Drill]

OneHero

Здесь ты сможешь узнать достаточно:
Создание сценариев с помощью WMI
Сценарий мониторинга выполнения регистрации (Logon Monitor Script) - близко к твоей задаче
Удаленное администрирование с помощью WMI
Внутри Windows Management Interface
Инструменты управления Windows: помощник системного администратора
Командная строка WMIC

[leonski]

Цитата:

Первоначальное сообщение от OneHero
Хорошо, если все так плохо то может кто знает какие-нибудь сторонние разработки по теме?

Действительно UserLock хорошая прога и очень жалко что microsoft не "вставил" изначально что то подобное в NT/2000/2003 сервер. Одно только но, прога стоит хорошего "бабла". Не знаю как там сейчас в бывшем Союзе на счет установки не легального софта у нас сдесь в Австралии с этим строго. Хоть как я не намекал своему начальнику о полезности и эфективности UserLock-а он посчитал что покупка 1500 лицензий компании не по-карману. В свое время я видел маленькую утилитку на одном из NT/2000/2003(точно не помню) РесКитов которая проверяет количество одновременных логинов в домене. Утилитка требовала наличее Microsoft SQL сервера для записи и учета информации. MicrosoftSQL сервера у нас не было а как прицепить утилитку пользовать MySQL я так и не смог. Я уверен что можно склепать кокой то vbscript который будет что то похожее делать во время логона, проверять или юзер уже логанулся в домен и если да то, к примеру висвечивать предупреждающее сообщение или что то в этом роде. К сожалению такого скрипта я еще не где не видел а мои знания в програмировании слишком минимальные. Если кто то видел сайт с такими скриптами пожалуйста выложыте линк так как проблема ограничения логинов для юзеров осталась для меня актуальной и по сей день.