userlock使用说明.docx

前言本文是限制用户多点并发登录系列文章中的最后一篇，同时也是压轴篇。在这里，我要隆重向大家推荐第三方厂商ISDecisions出的UserLock。相信大家对它一定不会陌生。它的优势明显盖过前面我所介绍的工具和方法。OK，就让我们来了解一下该软件的主要功能模块:1.限制用户并发登录的阀值2.查看用户登录信息以及状态3.通过活动目录对计算机进行管理4.生成详细报表，方便安全审计5.使用自带的客户端发布功能，将客户端Agent自动发布到AD用户的计算机上6.和活动相目录结合，读取DC中已经添加完成的用户7.类似MMC控制台界面，可以让用户方便使用8.方便数据库接口，系统自带的Access数据库，支持其他常见的数据库，如SQL Server测试环境环境和前面系列文章中的一样。在这个演示中，我把Userlock服务端直接安装在域控制器上。安装配置1).如需下载该软件或了解该软件的最新信息，请访问官方主页: /,最新版本为4.02).将下载到的文件UserLock_X86.msi进行安装。图示安装步骤：1.弹出软件安装向导，如图12.同意协议，如图23.输入用户和组织信息，如图34.4.选择安装类型，如图4，建议选择完全安装以使用全部功能5.开始正式安装，如图56.软件安装完成，如图61.JPG (36.81 KB) 下载次数:32008-1-14 15:032.JPG (54.41 KB) 下载次数:52008-1-14 15:033.JPG (26.58 KB) 下载次数:22008-1-14 15:034.JPG (28.71 KB) 下载次数:22008-1-14 15:035.JPG (24.91 KB) 下载次数:22008-1-14 15:036.JPG (25.37 KB) 下载次数:22008-1-14 15:037.开始进入Userlock的配置向导，如图78.因为我要把软件安装在我唯一的域控制器上，所以我选择“Primary Server”，如图89.选择服务器的管理区域，如图9.因为我的环境是单域单森林，所以选择ALL和选择下面的A是等效的。7.JPG (26.36 KB) 下载次数:42008-1-14 15:068.JPG (23.97 KB) 下载次数:32008-1-14 15:069.JPG (24.43 KB) 下载次数:22008-1-14 15:0610.Userlock是以服务形式存在的，所以需要输入一个服务帐号，不推荐使用本地系统帐号的权限来运行服务。如图1011.最后配置完成，可以查看前面的服务是否成功注册、配置及启动起来。如图1112.OK，打开Userlock 管理控制台看看这个软件长啥模样。如图12.是不是界面很友好呢？不错，因为它采用的是我们熟悉的MMC管理单元，所以很容易上手哦。10.JPG (32.4 KB) 下载次数:22008-1-14 15:0611.JPG (33.21 KB) 下载次数:22008-1-14 15:0612.JPG (37.32 KB) 下载次数:22008-1-14 15:063.分发客户端代理1).Userlock服务端安装完毕后，并不表示就能工作起来，它还需要客户端安装好客户端代理组件才行。从图12可以看出，Userlock已经检测到了3台计算机，其中包括服务端本身所在的DC，以及两台客户端ClientA和ClientB，不过代理的状态显示为“Not Installed”，所以我们需要分发客户端代理。不过，不要一听到还要安装客户端就犯愁，Userlock的客户端很好安装，直接在服务端就可以推下去，如图13：另外，卸载和重启都可以在服务端完成，是不是很方便呢？13.JPG (42.82 KB) 下载次数:42008-1-14 15:072).按照上图的方法安装客户端后，会在Agent Status一栏看到ClientA当前正在安装。如图14。安装完毕后需要重启，重启过后会发现状态已经变为了“Installed”，表明已经成功完成客户端的安装。如图15.3).同样的方法，对ClientB分发客户端代理。4).如果遇到客户端代理组件无法安装的情况，请确保：a. 关闭XP的防火墙，或者打开“文件与打印机共享”。b. 远程注册服务没有被停止c. ADMIN$管理共享没有被关闭d. 另外，最好是使用较新的版本，例如前面提到的4.0版本14.JPG (35.47 KB) 下载次数:22008-1-14 15:0715.JPG (37.34 KB) 下载次数:22008-1-14 15:074.定义通知消息1).单击控制台左侧列表树的“Messages”，在右侧的列表中可以看到系统内置了一系列的预警消息，如图16。不过是英文的，可以自己根据需要修改成中文。2). 单击右侧列表的“Logon_ Denied”禁止登录预警信息，可以将字段改为中文信息，比如：“禁止登录。您已经达到系统规定的最大连接数量！系统将自动注销！如果您要在该计算机上登录，请结束该帐号之前的登录会话或者直接联系系统管理员！”如图17。在客户端登录的时候，如果登录次数达到指定的阈值，则会接收到这个禁止登录的消息。16.JPG (64.36 KB) 下载次数:22008-1-14 15:0817.JPG (22.53 KB) 下载次数:22008-1-14 15:083).为了方便大家，我把其他的通知消息简单的翻译一下，希望对大家有用。DENIED_WORKSTATION由于管理员的限制，您不能从这台计算机上登录INSTALL_WILL_REBOOT为了完成UserLock客户端的安装，需要重新启动您的计算机UNINSTALL_WILL_REBOOT为了完成UserLock客户端的卸载，需要重新启动您的计算机LOGON_NOTIFICATION_BODYUserLock 登录通知LOGON_NOTIFICATION_SUBJECT用户 %user% 从计算机 %workstation% 登录，状态为 %status%用户: %user%工作站: %workstation%打开的会话数: %nbsessions%已使用的工作站: %sessions%登录状态: %status%（不要试图将%翻译出来，这是内置的变量）LOGOFF_NOTIFICATION_SUBJECT用户 %user% 从计算机 %workstation% 注销LOGOFF_NOTIFICATION_BODYUserLock 注销通知用户: %user%工作站: %workstation%打开的会话数: %nbsessions%仍在使用中的工作站数: %sessions%WELCOME_MESSAGE欢迎登录 %workstation% ！您最后登录的计算机为 %lastworkstation% ，最后登录时间为 (%lastlogontime%)距离您最后一次登录以来，UseLock 已拒绝您的帐号 %deniedlogons% 次无效登录（消息如何自定制，就看各位需求及创意了。我在这里，也只是按照字面意思来翻译，也许并不完全符合上下文的意思5.制定限制策略1).现在我们来为用户制定限制策略，亦即对用户帐号启用保护。右击控制台树中的“Protected Accounts”，选择“New User”（也可以对用户组启用保护），输入用户Bob以开启保护。如图18、192).右击Bob选择“属性”，弹出UserLock配置项，如图20稍微解释一下各选项设置，从上至下依次为：允许工作站会话数为允许终端会话数为总共允许的会话数为是否显示欢迎消息（欢迎消息就是前面的WELCOME_MESSAGE字段）是否为某个用户启用弹出通知，以及指定哪些情况下弹出通知是否将通知通过邮件寄给某人，同样可以指定包括哪些登录注销事件18.JPG (22.21 KB) 下载次数:22008-1-14 15:1019.JPG (31.05 KB) 下载次数:22008-1-14 15:1020.JPG (35.45 KB) 下载次数:22008-1-14 15:103).切换到用户属性的“Workstation”选项卡，可以进行如图21的设置，其中可以限制登录到哪台或哪些计算机，设置可以限制登录计算机的IP范围，不得不说真是强大。这里我限制为Bob只能在ClientA上登录。21.JPG (27.79 KB) 下载次数:52008-1-14 15:10验证登录1).现在我们用bob这个帐号在ClientA上来登录。输入用户名和密码后，立即就接收到了欢迎消息（因为我们前面为bob用户启用了接收欢迎消息啊），如图22.点击“确定”后，顺利登入ClientA。2).注意，如果是安装好客户端后首次登入系统，则有可能收到的欢迎消息里面关于上次登录计算机和上次登录时间为Unknown，那是因为是第一次登录，在Userlock的数据库中自然没有保存上次的登录记录。3).保持Bob用户在ClientA上的登录状态，我们再次用Bob这个用户在ClientB上登录，看看会遇到什么情况。输入用户名和密码后，一点“确定”就收到了如图23的禁止登录通知。4).试验做到这里我不得不打岔一下，我个人很喜欢Userlock禁止登录的这个地方。它是先检测当前帐号是否还允许登录再做放行禁行操作，类似进行“登录到”设置，而不是和前面文章介绍的“脚本篇”和“LimitLogin篇”一样，先登录再检查，如果不行再注销。再次对Userlock赞一个！5).细心你也许发现了，为什么禁止登录的提示信息是这个而不是最早开始自定义的“禁止登录。您已经达到系统规定的最大连接数量！系统将自动注销！如果您要在该计算机上登录，请结束该帐号之前的登录会话或者直接联系系统管理员！”？呵呵，那是因为我们对Bob这个用户限制了登录工作站，如果取消这个限制，允许他登录到任何计算机，那么当会话数超过之前定义的值1后，就会收到不同的提示信息了。如图2422.JPG (45.09 KB) 下载次数:32008-1-14 15:1423.JPG (12.6 KB) 下载次数:32008-1-14 15:1424.JPG (17.29 KB) 下载次数:32008-1-14 15:14详尽的报表功能1).该文章写到这似乎临近尾声了，但是我仍有点意犹未尽的感觉，总感觉还没有将这个工具详尽的介绍给大家。接下来，让我们看看UserLock在报表方面比前面的工具有哪些过之而无不及的地方。2).先来看看基本的状态报告功能。单击控制台树中的“User Sessions”，在右边可以看到当前登录的用户为Bob，并且能查看到当前在哪台计算机上登录，上次登录和注销的计算机和时间。3).再来看以用户为中心的报表功能。控制台树中的“User Sessions”，在右边空白处点击“User Sessions Report”，如图25.在如图26中，可以指定查询条件，而在如图27中，我们就可以看到对Bob登录注销事件的详细报表了，包括成功登录和失败的登录都有。25.JPG (38.85 KB) 下载次数:22008-1-14 15:1626.JPG (48.01 KB) 下载次数:22008-1-14 15:1627.JPG (80.06 KB) 下载次数:42008-1-14 15:164).最后来见识一下以会话信息为中心的统计功能。同理，我们按图25同样的操作，选择“Session statistics report”，指定条件后运行查看结果，如图28.28.JPG (41.58 KB) 下载次数:22008-1-14 15:16通过Web方式来管理Userlock1).默认情况下，Userlock只能通过MMC管理控制台来进行管理。不过还是可以通过Web方式来进行管理的。通过WEB来管理，在由于特定原因不能安装管理控制台或者管理员身在外出想进行管理等场景中，就特别有用处了。下面介绍如何为Userlock开启Webadmin2).安装IIS组件，记得安装并启用ASP组件，如图29和30，因为userlock的管理网站是基于ASP的。29.JPG (65.66 KB) 下载次数:22008-1-14 15:1730.JPG (44.71 KB) 下载次数:32008-1-14 15:173).为UserLock配置Webadmin。从开始菜单中打开Webadmin的配置工具，如图31，在图32中选择您需要将Webadmin安装到的哪个网站下，点击“Install”安装即可。接下来会提示安装成功。4).打开浏览器，输入Userlock 的Web管理站点URL：/uladmin即可进行管理。限于篇幅，就不多介绍了。31.JPG (48.06 KB) 下载次数:22008-1-14 15:1732.JPG (31.51 KB) 下载次数:22008-1-14 15:17其他说明1).文章写到这里，相信大家见识到了Userlock的简单易用以及功能的强大了。其实还有好多地方需要大家自