Active

前提条件 目的 为了在Windows Active Directory上管理的用户也能在Linux服务器上使用。 注意：本文不包含AD服务器的搭建过程。 环境 AD服务器环境： Windows Server 2008 R2 全域名（FQDN）为： wins.example.com Linux服务器： Oracle Linux 6.4（64bit） 全域名(FQDN)为： demo.example.com 配置Linux服务器网络 首先请禁用 SELinux和iptables防火墙。 在HOST文件中加入AD服务器 vi /etc/hosts 127.0.0.1 demo localhost localhost.localdomain ::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.56.13 demo.example.com 192.168.56.5 wins.example.com 修改resolv.conf文件 这里要配置DNS服务器得地址，你可以使用Winodws Server来配置一个简单的DNS服务器。 也可以参考 这篇文档 来用linux搭建一个DNS服务器。 vi /etc/resolv.conf search example.com nameserver

提高Windows网络安全一个重要的方法就是基于自定义的标准控制用户访问。 UserLock根据定制的用户访问策略限制用户登录来执行这种严格的访问控制。它不断地监控所有登录和会话事件,自动应用定制政策允许或拒绝登录,工作站访问和使用/连接时间。 定义受保护账户 自定义的保护账户可以由UserLock规则可以应用的用户、用户组或组织单位(OU)组成。受UserLock保护的账户总是会覆盖保护帐户设置。在权限允许的条件下可以选择UserLock应该使用的策略规则。 注意:因为UserLock集成了Active Directory活动目录,只需输入用户帐号名称，UserLock将检查这个帐户对应的活动目录,并将它添加在控制台。 对于每个受保护的账户，可以设置以下限制： 打开会话的最大数量和类型 定义允许的并发会话的数量。这包括用户可以进行同时登录的工作站最大数量,用户可以打开终端会话的最大数量,工作站和终端允许交互式会话总数。 限制用户可以同时打开Wi-Fi/VPN会话的最大数量,和允许IIS会话的最大数量。 也可以设置多种类型会话组合在一起的最大数量限制。 如果已经达到了允许会话的最大数量，可以提供一个用于允许或拒绝用户登出现有会话的选项。 工作站限制 限制受保护账户可以登录的工作站/终端从。通过定义IP范围,计算机名/ IP或各个单位部门进行限制。 时间限制