如何设置 Active Directory 用户的登录时间

通过为 Active Directory 用户配置登录时间，管理员可以控制员工何时可以访问网络资源。此功能有助于执行公司的工作时间政策，并通过阻止在更有可能发生可疑活动的下班时间进行访问来提高安全性。当用户尝试在允许的时间之外登录时，他们会看到一条消息，指出“您的帐户有时间限制，目前无法登录。”让我们探讨如何设置和管理这些限制。

设置个人用户的登录时间

步骤一：在域控制器或管理工作站上打开 Active Directory 用户和计算机 (ADUC)。

步骤2：找到并右键单击要配置的用户帐户，然后从上下文菜单中选择“属性”。

步骤3：在“属性”窗口中，单击“帐户”选项卡。您会发现一个标有“登录时间”的按钮。您可以在此处为该用户定义计划。

第4步：“登录时间”窗口显示一个网格，表示一周中的日期和一天中的时间。蓝色框表示允许的登录时间，而白色框表示拒绝的时间。

第5步：要设置限制时间，请单击“拒绝登录”单选按钮。然后，单击并在网格上拖动以选择要阻止的时间。例如，您可以拒绝工作日下午 6 点至上午 8 点以及周末全天的访问。

第6步：要设置允许的时间，请单击“允许登录”单选按钮并选择适当的时间段。例如，您可以允许工作日上午 8 点到下午 6 点进行访问。

第7步：单击“确定”保存更改并为该用户应用新的登录时间。

配置多个用户的登录时间

对于较大的组织，单独设置登录时间可能非常耗时。以下是对用户组应用限制的方法：

步骤一：在 ADUC 中，创建一个新的组织单位 (OU) 或使用包含要限制的用户的现有组织单位。

步骤2：通过按住 Ctrl 并单击每个用户来选择 OU 中的所有用户，或者按 Ctrl+A 选择全部。

步骤3：右键单击所选用户并选择“属性”。

第4步：在多选属性窗口中，单击“帐户”选项卡。

第5步：选中“登录时间”旁边的框可为所有选定的用户修改此设置。

阅读更多：使用 CSV 批量创建 Active Directory 用户

第6步：单击“登录时间”按钮并按照上述个人用户流程中的说明设置计划。

第7步：单击“应用”，然后单击“确定”以保存所有选定用户的更改。

强制登录时间限制

为了确保用户在登录时间到期时断开连接，您需要配置额外的组策略设置：

步骤一：在域控制器上打开组策略管理控制台 (gpmc.msc)。

步骤2：创建新的组策略对象 (GPO) 或编辑适用于目标用户或计算机的现有组策略对象。

步骤3：导航到计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略 > 安全选项。

第4步：找到并双击名为“Microsoft 网络服务器：登录时间到期时断开客户端连接”的策略。

第5步：将策略设置为“已启用”，然后单击“确定”保存更改。

第6步：将 GPO 链接到包含您的用户帐户或计算机对象的相应 OU。

第7步：跑步gpupdate /force在客户端计算机上或等待下一个组策略刷新周期以使更改生效。

跟踪登录和注销时间

要监控用户何时访问系统，您可以启用登录事件审核：

步骤一：在组策略管理编辑器中，导航到计算机配置 > 策略 > Windows 设置 > 安全设置 > 高级审核策略配置 > 审核策略 > 登录/注销。

步骤2：配置“审核登录”和“审核注销”策略以审核成功和失败。

步骤3：将 GPO 应用到要跟踪登录事件的域控制器或成员服务器。

第4步：查看这些服务器上的安全事件日志以查看域用户的登录和注销事件。

使用 PowerShell 检查上次登录时间

对于快速检查用户登录历史记录，PowerShell 是一个强大的工具。这是一个获取用户上次登录日期的简单命令：

Get-ADUser -Identity "UserName" -Properties "LastLogonDate"

将“UserName”替换为您要检查的实际用户名。此命令检索用户上次通过域身份验证的时间。

更详细的登录信息可以查询域控制器上的事件日志。下面是一个示例 PowerShell 脚本，用于获取特定用户的最近登录事件：

$User = "UserName"
$DaysBack = -7
$StartTime = (Get-Date).AddDays($DaysBack)
Get-WinEvent -FilterHashtable @{
    LogName="Security"
    ID=4624
    StartTime=$StartTime
} | Where-Object {$_.Properties[5].Value -eq $User} | 
Select-Object TimeCreated,
    @{Name="User";Expression={$_.Properties[5].Value}},
    @{Name="LogonType";Expression={$_.Properties[8].Value}},
    @{Name="Status";Expression={$_.Properties[8].Value}},
    @{Name="ComputerName";Expression={$_.Properties[11].Value}}

此脚本检索过去 7 天内指定用户的成功登录事件（事件 ID 4624）。调整$User和$DaysBack根据需要变量。

通过实施登录时间限制和监控访问时间，您可以显着改善组织的安全状况并确保遵守工作时间策略。请记住将这些更改传达给您的用户，并为那些因合法原因可能需要非工作时间访问的用户提供支持。