Ved å konfigurere påloggingstider for Active Directory-brukere kan administratorer kontrollere når ansatte har tilgang til nettverksressurser. Denne funksjonen hjelper til med å håndheve selskapets retningslinjer for arbeidstid og forbedrer sikkerheten ved å forhindre tilgang utenom arbeidstid når mistenkelig aktivitet er mer sannsynlig. Når brukere prøver å logge på utenom tillatte åpningstider, vil de se en melding som sier "Kontoen din har tidsbegrensninger som hindrer deg i å logge på nå." La oss utforske hvordan du setter opp og administrerer disse begrensningene.
Angi påloggingstimer for individuelle brukere
Trinn 1:Åpne Active Directory-brukere og datamaskiner (ADUC) på domenekontrolleren eller administrasjonsarbeidsstasjonen.
Trinn 2:Finn og høyreklikk brukerkontoen du vil konfigurere, og velg deretter "Egenskaper" fra hurtigmenyen.
Trinn 3:I Egenskaper-vinduet klikker du på "Konto"-fanen. Du finner en knapp merket "Login Hours." Det er her du kan definere en tidsplan for den brukeren.
Trinn 4:Påloggingstimer-vinduet viser et rutenett som representerer ukedager og timer på dagen. Blå bokser indikerer tillatte påloggingstider, mens hvite bokser viser nektede tider.
Trinn 5:For å angi begrensede åpningstider, klikk på alternativknappen "Pålogging nektet". Klikk og dra deretter over rutenettet for å velge timene du vil blokkere. Du kan for eksempel nekte tilgang fra 18.00 til 08.00 på hverdager og hele dagen i helgene.
Trinn 6:For å angi tillatte timer, klikk på alternativknappen "Login Permitted" og velg de riktige tidsblokkene. Du kan for eksempel tillate tilgang fra 08.00 til 18.00 på hverdager.
Trinn 7:Klikk "OK" for å lagre endringene og bruke de nye påloggingstidene for den brukeren.
Konfigurere påloggingstimer for flere brukere
For større organisasjoner kan det være tidkrevende å angi påloggingstimer individuelt. Slik bruker du begrensninger for grupper av brukere:
Trinn 1:I ADUC, opprett en ny organisasjonsenhet (OU) eller bruk en eksisterende som inneholder brukerne du vil begrense.
Trinn 2:Velg alle brukerne i OU ved å holde Ctrl og klikke på hver bruker, eller trykk Ctrl+A for å velge alle.
Trinn 3:Høyreklikk på de valgte brukerne og velg "Egenskaper".
Trinn 4:Klikk på "Konto"-fanen i vinduet med flere valgegenskaper.
Trinn 5:Merk av i boksen ved siden av "Påloggingstimer" for å endre denne innstillingen for alle valgte brukere.
Trinn 6:Klikk på "Påloggingstimer"-knappen og angi tidsplanen som beskrevet i den individuelle brukerprosessen ovenfor.
Trinn 7:Klikk "Bruk" og deretter "OK" for å lagre endringene for alle valgte brukere.
Håndheve restriksjoner for påloggingstimer
For å sikre at brukere kobles fra når påloggingstiden deres utløper, må du konfigurere en ekstra gruppepolicyinnstilling:
Trinn 1:Åpne Group Policy Management Console (gpmc.msc) på domenekontrolleren.
Trinn 2:Opprett et nytt gruppepolicyobjekt (GPO) eller rediger et eksisterende som gjelder målbrukerne eller datamaskinene dine.
Trinn 3:Naviger til Datamaskinkonfigurasjon > Politikker > Windows-innstillinger > Sikkerhetsinnstillinger > Lokale retningslinjer > Sikkerhetsalternativer.
Trinn 4:Finn og dobbeltklikk på policyen kalt "Microsoft nettverksserver: Koble fra klienter når påloggingstiden utløper".
Trinn 5:Sett policyen til "Aktivert" og klikk "OK" for å lagre endringen.
Trinn 6:Koble GPO til riktig OU som inneholder brukerkontoene eller datamaskinobjektene dine.
Trinn 7:Løpgpupdate /forcepå klientmaskiner eller vent på neste gruppepolicyoppdatering for at endringene trer i kraft.
Spore påloggings- og avloggingstider
For å overvåke når brukere får tilgang til systemet, kan du aktivere revisjon for påloggingshendelser:
Trinn 1:I Group Policy Management Editor, naviger til Datamaskinkonfigurasjon > Retningslinjer > Windows-innstillinger > Sikkerhetsinnstillinger > Avansert revisjonspolicykonfigurasjon > Revisjonspolicyer > Pålogging/avlogging.
Trinn 2:Konfigurer policyene "Revisjonspålogging" og "Revisjonsavlogging" for å revidere både suksesser og feil.
Trinn 3:Bruk GPO på domenekontrollerne eller medlemsservere der du vil spore påloggingshendelser.
Trinn 4:Se gjennom sikkerhetshendelsesloggen på disse serverne for å se påloggings- og avloggingshendelser for domenebrukere.
Bruke PowerShell for å sjekke siste påloggingstider
For raske kontroller av brukerpåloggingshistorikk kan PowerShell være et kraftig verktøy. Her er en enkel kommando for å få en brukers siste påloggingsdato:
Get-ADUser -Identity "UserName" -Properties "LastLogonDate"
Erstatt "Brukernavn" med det faktiske brukernavnet du vil sjekke. Denne kommandoen henter siste gang brukeren ble autentisert til domenet.
Les mer:Begrens den tillatte påloggingstiden for lokale brukere på Windows
For mer detaljert påloggingsinformasjon kan du spørre hendelsesloggene på domenekontrollere. Her er et eksempel på PowerShell-skript for å få nylige påloggingshendelser for en bestemt bruker:
$User = "UserName"
$DaysBack = -7
$StartTime = (Get-Date).AddDays($DaysBack)
Get-WinEvent -FilterHashtable @{
LogName="Security"
ID=4624
StartTime=$StartTime
} | Where-Object {$_.Properties[5].Value -eq $User} |
Select-Object TimeCreated,
@{Name="User";Expression={$_.Properties[5].Value}},
@{Name="LogonType";Expression={$_.Properties[8].Value}},
@{Name="Status";Expression={$_.Properties[8].Value}},
@{Name="ComputerName";Expression={$_.Properties[11].Value}}
Dette skriptet henter vellykkede påloggingshendelser (Hendelses-ID 4624) for den angitte brukeren fra de siste 7 dagene. Juster$Userog$DaysBackvariabler etter behov.
Ved å implementere restriksjoner på påloggingstimer og overvåke tilgangstider, kan du forbedre organisasjonens sikkerhetsstilling betydelig og sikre overholdelse av arbeidstidspolicyer. Husk å kommunisere disse endringene til brukerne dine og gi støtte til de som kan trenge tilgang etter arbeidstid av legitime grunner.
![[6 tips] Fix iPhone](https://elsefix.com/tech/afton/wp-content/uploads/cache/2025/04/iphone-contacts-not-showing-up-in-icloud-after-backup.webp.webp.webp)
