如何設置 Active Directory 用戶的登錄時間

通過為 Active Directory 用戶配置登錄時間，管理員可以控制員工何時可以訪問網絡資源。此功能有助於執行公司的工作時間政策，並通過阻止在更有可能發生可疑活動的下班時間進行訪問來提高安全性。當用戶嘗試在允許的時間之外登錄時，他們會看到一條消息，指出“您的帳戶有時間限制，目前無法登錄。”讓我們探討如何設置和管理這些限制。

設置個人用戶的登錄時間

步驟一：在域控制器或管理工作站上打開 Active Directory 用戶和計算機 (ADUC)。

步驟2：找到並右鍵單擊要配置的用戶帳戶，然後從上下文菜單中選擇“屬性”。

步驟3：在“屬性”窗口中，單擊“帳戶”選項卡。您會發現一個標有“登錄時間”的按鈕。您可以在此處為該用戶定義計劃。

第4步：“登錄時間”窗口顯示一個網格，表示一周中的日期和一天中的時間。藍色框表示允許的登錄時間，而白色框表示拒絕的時間。

第5步：要設置限制時間，請單擊“拒絕登錄”單選按鈕。然後，單擊並在網格上拖動以選擇要阻止的時間。例如，您可以拒絕工作日下午 6 點至上午 8 點以及週末全天的訪問。

第6步：要設置允許的時間，請單擊“允許登錄”單選按鈕並選擇適當的時間段。例如，您可以允許工作日上午 8 點到下午 6 點進行訪問。

第7步：單擊“確定”保存更改並為該用戶應用新的登錄時間。

配置多個用戶的登錄時間

對於較大的組織，單獨設置登錄時間可能非常耗時。以下是對用戶組應用限制的方法：

步驟一：在 ADUC 中，創建一個新的組織單位 (OU) 或使用包含要限制的用戶的現有組織單位。

步驟2：通過按住 Ctrl 並單擊每個用戶來選擇 OU 中的所有用戶，或者按 Ctrl+A 選擇全部。

步驟3：右鍵單擊所選用戶並選擇“屬性”。

第4步：在多選屬性窗口中，單擊“帳戶”選項卡。

第5步：選中“登錄時間”旁邊的框可為所有選定的用戶修改此設置。

閱讀更多：使用 CSV 批量創建 Active Directory 用戶

第6步：單擊“登錄時間”按鈕並按照上述個人用戶流程中的說明設置計劃。

第7步：單擊“應用”，然後單擊“確定”以保存所有選定用戶的更改。

強制登錄時間限制

為了確保用戶在登錄時間到期時斷開連接，您需要配置額外的組策略設置：

步驟一：在域控制器上打開組策略管理控制台 (gpmc.msc)。

步驟2：創建新的組策略對象 (GPO) 或編輯適用於目標用戶或計算機的現有組策略對象。

步驟3：導航到計算機配置 > 策略 > Windows 設置 > 安全設置 > 本地策略 > 安全選項。

第4步：找到並雙擊名為“Microsoft 網絡服務器：登錄時間到期時斷開客戶端連接”的策略。

第5步：將策略設置為“已啟用”，然後單擊“確定”保存更改。

第6步：將 GPO 鏈接到包含您的用戶帳戶或計算機對象的相應 OU。

第7步：跑步gpupdate /force在客戶端計算機上或等待下一個組策略刷新周期以使更改生效。

跟踪登錄和註銷時間

要監控用戶何時訪問系統，您可以啟用登錄事件審核：

步驟一：在組策略管理編輯器中，導航到計算機配置 > 策略 > Windows 設置 > 安全設置 > 高級審核策略配置 > 審核策略 > 登錄/註銷。

步驟2：配置“審核登錄”和“審核註銷”策略以審核成功和失敗。

步驟3：將 GPO 應用到要跟踪登錄事件的域控制器或成員服務器。

第4步：查看這些服務器上的安全事件日誌以查看域用戶的登錄和註銷事件。

使用 PowerShell 檢查上次登錄時間

對於快速檢查用戶登錄歷史記錄，PowerShell 是一個強大的工具。這是一個獲取用戶上次登錄日期的簡單命令：

Get-ADUser -Identity "UserName" -Properties "LastLogonDate"

將“UserName”替換為您要檢查的實際用戶名。此命令檢索用戶上次通過域身份驗證的時間。

更詳細的登錄信息可以查詢域控制器上的事件日誌。下面是一個示例 PowerShell 腳本，用於獲取特定用戶的最近登錄事件：

$User = "UserName"
$DaysBack = -7
$StartTime = (Get-Date).AddDays($DaysBack)
Get-WinEvent -FilterHashtable @{
    LogName="Security"
    ID=4624
    StartTime=$StartTime
} | Where-Object {$_.Properties[5].Value -eq $User} | 
Select-Object TimeCreated,
    @{Name="User";Expression={$_.Properties[5].Value}},
    @{Name="LogonType";Expression={$_.Properties[8].Value}},
    @{Name="Status";Expression={$_.Properties[8].Value}},
    @{Name="ComputerName";Expression={$_.Properties[11].Value}}

此腳本檢索過去 7 天內指定用戶的成功登錄事件（事件 ID 4624）。調整$User和$DaysBack根據需要變量。

通過實施登錄時間限制和監控訪問時間，您可以顯著改善組織的安全狀況並確保遵守工作時間策略。請記住將這些更改傳達給您的用戶，並為那些因合法原因可能需要非工作時間訪問的用戶提供支持。