Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Защита компьютерных систем (http://forum.oszone.net/forumdisplay.php?f=20)
-   -   1 пользователь - 1 логон (http://forum.oszone.net/showthread.php?t=213303)

zubkoff.s 15-08-2011 13:31 1732226
1 пользователь - 1 логон
 
Добрый день.
Домен Windows 2003. 15 пользователей.

Хочу избавиться от проблемы передачи пароля другому пользователю, а точнее хочу исключить возможность одновременной работы за разными ПК одному пользователю.

К примеру, есть пользователь - ivanov с паролем password. В компанию пришел новый сотрудник, и пока ему не завели новый логин, добродушный ivanov говорит - а поработай пока под моими учетными данными. Тот логиниться, и выходит, что в единицу времени на шаре вносятся изменения от 2х Ивановых, и кто из них кто - не разобрать.

Не рассматриваю какие-то административные наказания. Нужен прямой запрет.

Решение с логоном на 1-м ПК (ivanov работает _только_ на comp13) - не подходит. Пользователи свободны в выборе рабочего ПК.

Если ivanov сутра залогинился, то больше никто не может войти под этим же логином, до тех пор, пока он не сделает логофф.

Желательно конечно стандартными инструментами это сделать. Если возможно. Ну и без смарт-карт.

Если нужны какие-то уточнения, обязуюсь оперативно их предоставить.
Спасибо.

Delirium 15-08-2011 14:29 1732287
Я бы сделал 2 скрипта - на вход и выход из системы. Затолкал бы их в групповую политику. Один скрипт при входе в систему писал бы в какую нибудь сетевую папку текстовый файл с именем пользователя. перед этим бы проверялось, если такой файл уже есть, то выполнялся бы выход из системы. Второй скрипт при выходе удалял файл с сетевой папки.

xoxmodav 15-08-2011 17:04 1732399
zubkoff.s, если мне не изменяет память это можно было реализовать в ISA Server (ныне Microsoft Forefront). Ну, или если скрипты не устроят, то стоит смотреть в сторону подобных решений - http://www.isdecisions.com/

zubkoff.s 15-08-2011 17:31 1732426
xoxmodav, если я не ошибаюсь, то наследник ISA - TMG. Пруф.
Да и как-то слабо представляю, как сетевой экран (прокси) будут запрещать мне логон. Они _возможно_ запретят выход в мир 2-м аккаунтам, но врядли запрещают процедуру логона. Ведь логон (аутентификация и авторизация) происходит на ДК. И никоим образом не затрагивает прочие службы.

За коммерческое решение - спасибо.

Delirium, мне тоже эту идею подкинули изначально. Но в скриптах (даже на уровне создать файл) не силен, разве что через Posh смогу создать файл, а вот узнать, существует ли такой же.. (

Судя из всего вышенаписанного, предполагаю, что стандартного решения нет (а-ля параметр какого-то атрибута пользователя).

xoxmodav 15-08-2011 22:16 1732624
Цитата:
Цитата zubkoff.s
xoxmodav, если я не ошибаюсь, то наследник ISA - TMG. Пруф. »
Если быть уж совсем точным Microsoft Forefront Threat Management Gateway (Forefront TMG).

Стандартных решений нет, есть некий скрипт в этой теме - http://forum.ixbt.com/topic.cgi?id=7:20591

zubkoff.s 16-08-2011 11:23 1732934
Стандартных средств нет...

Докручивать что-то стороннее, коммерческое - не хочу.

xoxmodav, Delirium, спасибо за ответы.

Delirium 16-08-2011 19:01 1733289
zubkoff.s, вот пример скрипта, который будет удалять файл при выходе из системы(logout.cmd)
Код:
del \\server\share\%username%.txt
А вот код, который при входе проверяет, есть ли файл и производит выход из системы, если он есть(logon.cmd):
Код:
if exist \\server\share\%username%.txt shutdown /l
@ECHO ON
@echo %computername%  >\\server\share\%username%.txt
Если файла нет, то выхода не происходит и на серверную папку пишется текстовик в формате "имя пользователя".txt. При выходе из системы этот файл удаляется.

El Scorpio 17-08-2011 07:03 1733492
Delirium, остаётся только один вопрос.
Что получится, если вдруг компьютер зависнет либо аварийно перезагрузится? :lol:

Delirium 17-08-2011 08:59 1733526
проблему можно решить задачей в планировщике в полночь, которая будет очищать все файлы в папке с индикаторами входа. По другому тут увы никак :) ну или написать мини программку для этих целей :))

El Scorpio 17-08-2011 11:02 1733594
Значит до следующего утра человек, у которого ВНЕЗАПНО случился BSOD, работать не сможет :)

Теоретически возможен вариант открывать файл по сети с "блокировкой". То есть, пока работает программа, другой программой этот файл закрыть нельзя, а в случае разрыва соединения эта блокировка снимается.
Вот только как это сделать практически?

Другой вариант - запущенная "фоном" программа каждую минуту "трогает" файл, изменяя время изменения.
А при логоне программа проверяет время последнего изменения. Если меньше минуты, то "до свидания".
Правда возникает вопрос - не протрёт ли такая программа дырку в жёстком диске? :) Так что придётся эти файлы на RAM-диске создавать

zubkoff.s 17-08-2011 11:08 1733598
Разумеется такая система (блокировки 2го пользователя - точнее deny to log on) должна обходится без вмешательства сис. админа. Компания - 15 человек - может неделями работать без системного администратора. А я вот представил реалии жизни - лето, все включили кондиционеры, и отключение света нормальное явление (и это центр Киева, историческая часть). И я с ужасом представляю, как я вычищаю эти файлы, что б пользователи могли залогиниться.
Сейчас думаю, а как это в банках реализовано... наверное у них 2хфакторная аутентификация, еще и карты есть.


Время: 18:09.

Время: 18:09.
© OSzone.net 2001-