Genom att konfigurera inloggningstider för Active Directory-användare kan administratörer kontrollera när anställda kan komma åt nätverksresurser. Den här funktionen hjälper till att upprätthålla företagets arbetstimmarspolicyer och förbättrar säkerheten genom att förhindra åtkomst under öppettider när misstänkt aktivitet är mer sannolikt. När användare försöker logga in utanför tillåtna öppettider, kommer de att se ett meddelande som säger "Ditt konto har tidsbegränsningar som hindrar dig från att logga in just nu." Låt oss undersöka hur du ställer in och hanterar dessa begränsningar.
Ställa in inloggningstimmar för enskilda användare
Steg 1:Öppna Active Directory Users and Computers (ADUC) på din domänkontrollant eller hanteringsarbetsstation.
Steg 2:Leta upp och högerklicka på det användarkonto du vill konfigurera och välj sedan "Egenskaper" från snabbmenyn.
Steg 3:Klicka på fliken "Konto" i fönstret Egenskaper. Du hittar en knapp märkt "Login Hours". Det är här du kan definiera ett schema för den användaren.
Steg 4:Fönstret Inloggningstimmar visar ett rutnät som representerar veckodagar och timmar på dygnet. Blå rutor anger tillåtna inloggningstider, medan vita rutor visar nekade tider.
Steg 5:För att ställa in begränsade timmar, klicka på alternativknappen "Logga nekad". Klicka och dra sedan över rutnätet för att välja de timmar du vill blockera. Du kan till exempel neka åtkomst från 18.00 till 08.00 på vardagar och hela dagen på helger.
Steg 6:För att ställa in tillåtna timmar, klicka på alternativknappen "Login Permitted" och välj lämpliga tidsblock. Du kan till exempel tillåta åtkomst från 8:00 till 18:00 på vardagar.
Steg 7:Klicka på "OK" för att spara ändringarna och tillämpa de nya inloggningstiderna för den användaren.
Konfigurera inloggningstider för flera användare
För större organisationer kan det vara tidskrävande att ställa in inloggningstider individuellt. Så här tillämpar du begränsningar för grupper av användare:
Steg 1:I ADUC, skapa en ny organisationsenhet (OU) eller använd en befintlig som innehåller de användare du vill begränsa.
Steg 2:Välj alla användare i organisationsenheten genom att hålla ned Ctrl och klicka på varje användare, eller tryck på Ctrl+A för att markera alla.
Steg 3:Högerklicka på de valda användarna och välj "Egenskaper".
Steg 4:Klicka på fliken "Konto" i egenskapsfönstret för flera val.
Steg 5:Markera rutan bredvid "Inloggningstimmar" för att ändra den här inställningen för alla valda användare.
Steg 6:Klicka på knappen "Login Hours" och ställ in schemat enligt beskrivningen i den individuella användarprocessen ovan.
Steg 7:Klicka på "Apply" och sedan "OK" för att spara ändringarna för alla valda användare.
Genomföra begränsningar av inloggningstimmar
För att säkerställa att användarna kopplas bort när deras inloggningstider går ut måste du konfigurera en ytterligare grupprincipinställning:
Steg 1:Öppna Group Policy Management Console (gpmc.msc) på din domänkontrollant.
Steg 2:Skapa ett nytt grupprincipobjekt (GPO) eller redigera ett befintligt som gäller dina målanvändare eller datorer.
Steg 3:Navigera till Datorkonfiguration > Politik > Windows-inställningar > Säkerhetsinställningar > Lokala principer > Säkerhetsalternativ.
Steg 4:Hitta och dubbelklicka på policyn som heter "Microsoft nätverksserver: Koppla bort klienter när inloggningstiderna löper ut".
Steg 5:Ställ in policyn på "Aktiverad" och klicka på "OK" för att spara ändringen.
Steg 6:Länka GPO till lämplig organisationsenhet som innehåller dina användarkonton eller datorobjekt.
Steg 7:Siktgpupdate /forcepå klientdatorer eller vänta på nästa uppdateringscykel för grupprincip för att ändringarna ska träda i kraft.
Spåra inloggnings- och utloggningstider
För att övervaka när användare kommer åt systemet kan du aktivera granskning för inloggningshändelser:
Steg 1:I Group Policy Management Editor navigerar du till Datorkonfiguration > Policies > Windows-inställningar > Säkerhetsinställningar > Avancerad revisionspolicykonfiguration > Revisionspolicyer > Inloggning/Logga ut.
Steg 2:Konfigurera policyerna "Audit Logon" och "Audit Logoff" för att granska både framgångar och misslyckanden.
Steg 3:Tillämpa GPO på dina domänkontrollanter eller medlemsservrar där du vill spåra inloggningshändelser.
Steg 4:Granska säkerhetshändelseloggen på dessa servrar för att se inloggnings- och utloggningshändelser för domänanvändare.
Använder PowerShell för att kontrollera senaste inloggningstider
För snabba kontroller av användarinloggningshistorik kan PowerShell vara ett kraftfullt verktyg. Här är ett enkelt kommando för att få en användares senaste inloggningsdatum:
Get-ADUser -Identity "UserName" -Properties "LastLogonDate"
Ersätt "UserName" med det faktiska användarnamnet du vill kontrollera. Detta kommando hämtar den senaste gången användaren autentiserades till domänen.
Läs mer:Begränsa den tillåtna inloggningstiden för lokala användare på Windows
För mer detaljerad inloggningsinformation kan du fråga händelseloggarna på domänkontrollanter. Här är ett exempel på PowerShell-skript för att få senaste inloggningshändelser för en specifik användare:
$User = "UserName"
$DaysBack = -7
$StartTime = (Get-Date).AddDays($DaysBack)
Get-WinEvent -FilterHashtable @{
LogName="Security"
ID=4624
StartTime=$StartTime
} | Where-Object {$_.Properties[5].Value -eq $User} |
Select-Object TimeCreated,
@{Name="User";Expression={$_.Properties[5].Value}},
@{Name="LogonType";Expression={$_.Properties[8].Value}},
@{Name="Status";Expression={$_.Properties[8].Value}},
@{Name="ComputerName";Expression={$_.Properties[11].Value}}
Det här skriptet hämtar lyckade inloggningshändelser (Event ID 4624) för den angivna användaren från de senaste 7 dagarna. Justera$Useroch$DaysBackvariabler efter behov.
Genom att implementera begränsningar för inloggningstimmar och övervaka åtkomsttider kan du avsevärt förbättra din organisations säkerhetsställning och säkerställa efterlevnad av arbetstidspolicyer. Kom ihåg att kommunicera dessa ändringar till dina användare och ge support till dem som av legitima skäl kan behöva åtkomst efter arbetstid.
