Home »

Залогиненные пользо...
 

Залогиненные пользователи на ПК в консоли Active Directory онлайн

1 Записи
1 Пользователи
0 Likes
3,255 Просмотры
STALKER_SLX
Записи: 201
Создатель темы
(@stalker_slx)
Estimable Member
Присоединился: 5 лет назад

Доброго времени суток, уважаемые форумчане!

«И так, встала задача – нужно каким-либо образом определять на каком компьютере залогинен пользователь AD либо наоборот – какой пользователь залогинен на ПК в текущий момент. На разных админских форумах эту задачу решают по-разному».

Я попытался сделать это следующим образом.

На просторах сети нашёл два VBS-скрипта: один отрабатывает при авторизации пользователя на компьютере домена (logon_sc.vbs), а второй – при завершении сеанса (выходе) пользователя (logoff_sc.vbs). Их содержимое привожу во вложении «Logon_Lofoff_AD.rar».

Далее я создал новую политику и в раздел «User configuration» -(Logon/Logoff) поместил эти самые скрипты. Далее привязал (применил) данную политику к нужному контейнеру (OU), который содержит всех пользователей офиса (а их больше 100). Но эта политика отработала (на сколько я понял) только на пользователях, которые входят в группу доменных администраторов! На других же пользователях, при «gpresult / показывает, что политика применилась, но соответствующие записи Logon/Logoff обычных пользователей домена в поле «Description» консоли «Active directory users and computers» так и не появились.

В сети пишут, чтобы решить эту задачу, нужно ВСЕМ пользователям дать право на запись в поле «Описание» учетных записей их компьютеров. В частности, вот тут https://sysrtfm.ru/windows-sever-2008/zaloginennye-polzovateli-na-pk-v-konsoli-active-directory-onlajn-vbs-skript/

Написано следующее:

«Для этого правой кнопкой мыши на OU где находятся все ПК, выбираем первый пункт «Делегирование управления», «Далее», «Добавить», выбираем группу пользователей «Domain Users» например, «Далее», Выбираем «Создать особую задачу для делегирования», «Далее», «только следующими объектами в этой папке», спускаемся в самый низ и отмечаем «Компьютер объектов», «Далее», Убираем галку «Общие» и отмечаем «Разрешения для свойств» - список увеличится, почти в самом низу отмечаем «Запись Описание», «Далее» и «Готово». После этого Все пользователи домена смогут записывать в поле «Описание» компьютеров.»

Но меня волнует, то на сколько такой подход будет правильный с точки зрения безопасности (пользователи могут изменять поле «Описание» / «Description»)?!

А как такую задачу решаете Вы?

Ответить
Используешь Telegram? Подпишись на канал автора →
This is default text for notification bar