Windows量身定做的登錄管理工具

2020-10-24 14:46:51

字體：大中小

供稿：網(wǎng)友

LimitLogin是微軟專門為Windows Server 2003量身定做的一個(gè)登錄管理工具，其功能十分強(qiáng)大，包括限制域中的用戶登錄數(shù)、分類顯示域中任何用戶的登錄信息、集成至AMD(Active Directory MMC)進(jìn)行管理配置、生成CSV和XML格式的登錄信息，這些功能對(duì)普通用戶來(lái)說(shuō)意義并不大，但對(duì)商業(yè)用戶，例如銀行、圖書(shū)館、ISP等行業(yè)有著廣泛的需求。　　

　　下載與安裝

　　目前，微軟尚未提供官方站點(diǎn)，如果你感興趣的話，可以從http://download.microsoft.com/download/f/d/0/fd05def7-68a1-4f71-8546-25c359cc0842/limitlogin.exe下載，目前最新版本是1.0。該軟件的基本配置要求為Windows XP+.NET Framework 1.1或Windows Server 2003，微軟給出的建議是Windows 2003 Domain Controller，并且在域中至少有一臺(tái)Windows 2003 Domain Controller。　　

　　LimitLogin的安裝過(guò)程十分復(fù)雜，分為以下幾步：　　

　　1．安裝LimitLogin Web Service　　

　　如圖1所示，安裝時(shí)需要定制Web Service的名稱，默認(rèn)是WSLimitLogin，假如你需要更改，那么請(qǐng)一定牢牢記住，因?yàn)閷⒃贏ctive Directory Setup中用到這個(gè)名稱，同時(shí)也可以在這里定制訪問(wèn)Web Service的端口號(hào)。

　　

　　2．安裝LimitLogin Active Directory　　

　　LimitLogin Web Service開(kāi)始運(yùn)行后，你還需要繼續(xù)安裝LimitLogin的Active Directory Setup，運(yùn)行下載回來(lái)的LimitLoginADSetup.msi，如圖2所示，這里有三個(gè)復(fù)選框，如果你是第一次安裝，那么請(qǐng)全部選中。　　

　　(1)Prepare your Active Directory Forest for LimitLogin。這個(gè)選項(xiàng)將執(zhí)行如下操作：更新配置，加入LimitLogin AD MMC控制菜單；擴(kuò)展Forest schema，包括LimitLogin類和屬性。

　　這里，你需要擁有Schema Administrator的權(quán)限，然后會(huì)出現(xiàn)一個(gè)對(duì)話框，單擊“OK”按鈕進(jìn)行確認(rèn)，系統(tǒng)將在/%windir%/system32/和/program files/Limitlogin/目錄之下建立詳細(xì)的日志，這一步完成之后，就可以開(kāi)始配置域到LimitLogin了。
　　

　　(2)Pepare your Active Directory Domain for LimitLogin。這個(gè)選項(xiàng)將執(zhí)行如下操作：建立并配置llogin.vbs、llogoff.vbs、limitlogin.wsdl等文件；為L(zhǎng)imitLogin建立一個(gè)應(yīng)用目錄區(qū)域。　　

　　在圖3所示的“Domain Setup”窗口中，我們需要提供下面三個(gè)參數(shù)：Scripts Share Folder名稱，共享區(qū)域保存腳本和wsdl文件，所有的認(rèn)證用戶將在Limitlogin下運(yùn)行，必須能訪問(wèn)該共享區(qū)域；IIS Server名稱，運(yùn)行有LimitLogin Web Service的IIS機(jī)器名；LimitLogin Web Service的名稱，這下你知道前面需要牢牢記住的原因了吧！

　　至于窗口底部的這個(gè)復(fù)選框，原本是為系統(tǒng)的安裝而配置，建議選中為好。接下來(lái)，我們需要建立LimitLogin應(yīng)用目錄區(qū)域，此時(shí)會(huì)彈出一個(gè)對(duì)話框，你可以在下拉列表框中選擇需要建立LimitLogin應(yīng)用目錄區(qū)域的Domain Controller，在成功完成該步驟后，會(huì)顯示安裝Domain setup的最后的提示。　

　　(3)Install LimitLogin AD MMC add-in tools on this machine。這個(gè)選項(xiàng)最后才會(huì)運(yùn)行，主要是復(fù)制一些文件到/%windir%目錄，這里你只能從Active Directory MMC運(yùn)行LimitLogin的機(jī)器。以后，如果你希望運(yùn)行LimitLogin AD MMC附加工具，只需簡(jiǎn)單的在一個(gè)用戶，機(jī)器或是OU/Container右鍵選擇“LimitLogin Tasks”就可以了。　　

　　需要說(shuō)明的是，你可以運(yùn)行LimitLoginADSetup.msi選擇在你想要使用AD MMC集成功能的計(jì)算機(jī)上進(jìn)行安裝，或者也可以在“/program files/limitlogin/LimitLoginADSetup.exe”依次用“/ForestPrep”和“/DomainPrep”進(jìn)行設(shè)置。

　　手動(dòng)配置和腳本

　　首先，你需要將“/Program Files/LimitLogin/Scripts”文件夾復(fù)制至“Domain Setup”那一步指定的共享文件夾中，例如//Servername/Share。　　

　　1．配置Login和Logoff腳本的步驟　　

　　(1)開(kāi)啟Active Directory用戶和計(jì)算機(jī)。　　

　　(2)右擊域?qū)ο蟠蜷_(kāi)屬性窗口，切換到組策略標(biāo)簽頁(yè)，然后修改默認(rèn)的Domain策略。　　

　　(3)依次選擇“User Configuration→Windows Settings→Scripts”，在Logon腳本中，從腳本共享路徑加入llogin.vbs；在Logoff腳本中，從腳本共享路徑加入llogoff.vbs。　　

　　2．配置“Trust for Delegation”　

　　(1)開(kāi)啟Active Directory用戶和計(jì)算機(jī)。　　

　　(2)在“Domain→Computers”右鍵單擊IIS服務(wù)器對(duì)象，打開(kāi)屬性窗口后切換到Delegation標(biāo)簽頁(yè)。　　

　　(3)選擇“Trust this computer for delegation to specified services only”和“Use Kerberos only”。　　

　　(4)單擊“Add”按鈕，選擇DC(Domin Controller)計(jì)算機(jī)的名稱，列表得出可用服務(wù)，我們需要在域上為計(jì)算機(jī)選擇LDAP服務(wù)。　　

　　或者，你也可以通過(guò)選擇“Trust this computer for delegation to any service”選項(xiàng)，以信任所有的服務(wù)。

　　設(shè)置LimitLogin客戶端

　　為了在LimitLogin服務(wù)下工作，我們需要在每一個(gè)域成員機(jī)器上運(yùn)行LimitLoginClientSetup.msi來(lái)安裝客戶端。客戶端的安裝包括：　　

　　(1)SOAP Runtime(需要連接Web Service)。　　

　　(2)WTSApiAx.dll(發(fā)送到Web Service前需要收集Session ID)。
　　
　　(3)LLoginSessions.exe(可選項(xiàng)，當(dāng)超出限額時(shí)，用來(lái)顯示之前登錄的用戶列表)。　　

　　配置LimitLogin Client安裝包有很多方法，例如使用SMS、login scripts、Group Policies等，比較簡(jiǎn)單的辦法是在Silent模式下運(yùn)行客戶端安裝，此時(shí)可以在命令行下運(yùn)行如下代碼LimitLoginClientSetup.msi /qn”，或者你可以參考http://msdn.microsoft.com/library/default.asp?url=/library/en-us/msi/setup/command_line_options.asp頁(yè)面的介紹，這里就不多說(shuō)了。　　
　　診斷與維護(hù)

　　LimitLogin有一個(gè)很重要的命令行程序：LLogincmd.exe，這個(gè)文件在本地的“/program files/LimitLogin”目錄下可以找到，包括如下參數(shù)：　　

　　/Diag or /d：顯示狀態(tài)信息。　　

　　/Report or /r：為域生成登錄信息CSV文件報(bào)告。　　

　　/Update or /u：收集、檢驗(yàn)、比較域上的用戶信息，確保始終處于最新?tīng)顟B(tài)。　　

　　/ClearLogins or /c：從數(shù)據(jù)庫(kù)清除所有登錄信息。

上一篇：Windows系統(tǒng)法寶：設(shè)備管理器技巧

下一篇：在Windows下也可以玩Ghost