出於某種原因,這可能是為了執行他們的公司工作時間政策或提高安全性,因為威脅參與者將無法在辦公時間以外登錄,管理員可以為 Active Directory 中的用戶設置或限制登錄時間特定日期或時間。 在這篇文章中,我們提供了有關如何完成此任務的分步說明!
為用戶設置登錄時間後,當用戶在登錄拒絕時間內嘗試登錄 Windows 機器時,用戶將在登錄屏幕上收到以下通知,如上圖所示。
您的帳戶有時間限制,此時您無法登錄。 請稍後再試。
文件: 系統無法聯繫域控制器來為身份驗證請求提供服務
如何在 Active Directory 中為用戶配置登錄時間
作為組織中的 IT 管理員,您可以設置或限制用戶在 Active Directory 中的登錄時間,只要您收到管理部門的正式確認並且提前通知用戶有關登錄時間限制。政策。
我們將在以下小標題下討論該主題:
- 設置單個用戶的登錄時間
- 設置用戶組登錄時間
- 登錄時間到期時註銷用戶
您的帳戶有時間限制,導致您此時無法登錄
1]設置單個用戶登錄時間
該圖顯示週日至週六上午 11:00 至晚上 9:00 和周日至週六上午 12:00 至上午 9:00 分別為用戶無法登錄的時間段和允許的會話開始時間,網絡域。
要在 Active Directory 中配置單個用戶的登錄時間,請執行以下步驟:
- 打開 Active Directory 用戶和團隊 (ADUC)。
- 在 ADUC 中,右鍵單擊要設置限制的用戶帳戶。
- 選擇特性從上下文菜單。
- 然後點擊帳戶上的選項卡特性頁。
- 點擊登錄時間按鈕。
您現在將看到一個屏幕顯示允許的o拒絕小時。 允許的顏色顯示在蔚藍當顏色被拒絕時布蘭科。
- 接下來,單擊“拒絕登錄”選項的單選按鈕。
- 現在將光標拖過顯示日期和時間的小框,或單獨選擇每個框。
- 點擊允許登錄當我完成的時候。
- 接下來,單擊允許登錄選項的單選按鈕。
- 現在,將光標拖到您希望拒絕登錄的時間段。
- 點擊登錄被拒絕當我完成的時候。
文件:為登錄 Windows 11/10 的用戶創建登錄提示
2]為用戶組設置登錄時間
要為 Active Directory 中的用戶組配置登錄時間,請執行以下步驟:
- 創建一個組織單位 (OU) 並為其指定一個唯一的描述性名稱。
- 然後創建或移動所有用戶到這個 OU 容器。
- 現在按控制 + 和選擇組織單位中的所有用戶。
- 右鍵單擊突出顯示的用戶並選擇特性。
- 然後點擊帳戶睫毛。
- 點擊標記登錄時間選項
- 點擊登錄時間按鈕。
- 現在,在“登錄時間”頁面上,您可以根據需要限制一組用戶的登錄時間。
3]登錄時間到期時註銷用戶
更進一步,您可以按照以下步驟設置組策略,以在登錄時間到期時註銷已登錄的用戶。 GPO 必須分配給包含用戶的組織單位。 當策略處於活動狀態時,用戶將在登錄時間到期時註銷。
- 打開組策略管理控制台 (gpmc.msc)。
- 右鍵單擊“組策略對象”,然後單擊新創建一個新的 GPO。
- 為 GPO 指定一個描述性名稱。
- 右鍵單擊新的 GPO,然後單擊編輯.
- 然後導航到以下路徑:
計算機配置 > 策略 > Windows 設置 > 安全設置 > 本地策略 > 安全選項
- 在策略面板中,雙擊 Microsoft 網絡服務器:登錄時間到期時斷開客戶端以編輯其屬性。
- 現在點擊安全策略配置,
- 點擊標記定義此策略設置複選框
- 選擇單選按鈕以活性.
- 點擊好的.
就這樣!
接下來閱讀: 如何在 Active Directory 中為用戶設置權限
如何跟踪域用戶的登錄和註銷時間?
要執行此任務,請導航到 GPMC 中的以下路徑:
計算機配置 > 策略 > Windows 設置 > 安全設置 > 高級審核策略設置 > 審核策略 > 登錄/註銷。
在現場,根據您的需求,配置相關的審計策略,跟踪用戶的登錄和下線。 當使用基於表達式的軟規則設置登錄時間限制時,用戶訪問僅限於特定時間段內發布的資源。
文件: 什麼是事件查看器中的審核成功或審核失敗?
如何在 PowerShell 中獲取用戶登錄時間?
要使用 PowerShell 獲取用戶的上次登錄歷史記錄,您可以使用獲取事件日誌用於從域控制器事件日誌中獲取所有事件的 cmdlet。 您可以按所需的事件 ID 過濾事件,並顯示有關用戶向域進行身份驗證的時間以及他們用於登錄的計算機的信息。 要找出過時帳戶的上次登錄時間戳,請在 PowerShell 中運行以下命令:
Get-ADUser -Identity "UserName" -Properties "LastLogonDate"
還讀過: 如何在 Windows 11/10 中查看用戶登錄歷史記錄。
