LimitLogin是微软专门为Windows Server 2003量身定做的一个登录管理工具,其功能十分强大,包括限制域中的用户登录数、分类显示域中任何用户的登录信息、集成至AMD(Active Directory MMC)进行管理配置、生成CSV和XML格式的登录信息,这些功能对普通用户来说意义并不大,但对商业用户,例如银行、图书馆、ISP等行业有着广泛的需求。
下载与安装
目前,微软尚未提供官方站点,如果你感兴趣的话,可以从http://download.microsoft.com/download/f/d/0/fd05def7-68a1-4f71-8546-25c359cc0842/limitlogin.exe下载,目前最新版本是1.0。该软件的基本配置要求为Windows XP+.NET Framework 1.1或Windows Server 2003,微软给出的建议是Windows 2003 Domain Controller,并且在域中至少有一台Windows 2003 Domain Controller。
LimitLogin的安装过程十分复杂,分为以下几步:
1.安装LimitLogin Web Service
安装时需要定制Web Service的名称,默认是WSLimitLogin,假如你需要更改,那么请一定牢牢记住,因为将在Active Directory Setup中用到这个名称,同时也可以在这里定制访问Web Service的端口号。
2.安装LimitLogin Active Directory
LimitLogin Web Service开始运行后,你还需要继续安装LimitLogin的Active Directory Setup,运行下载回来的LimitLoginADSetup.msi,这里有三个复选框,如果你是第一次安装,那么请全部选中。
(1)Prepare your Active Directory Forest for LimitLogin。这个选项将执行如下操作:更新配置,加入LimitLogin AD MMC控制菜单;扩展Forest schema,包括LimitLogin类和属性。
这里,你需要拥有Schema Administrator的权限,然后会出现一个对话框,单击“OK”按钮进行确认,系统将在\%windir%system32和program filesLimitlogin目录之下建立详细的日志,这一步完成之后,就可以开始配置域到LimitLogin了。
(2)Pepare your Active Directory Domain for LimitLogin。这个选项将执行如下操作:建立并配置llogin.vbs、llogoff.vbs、limitlogin.wsdl等文件;为LimitLogin建立一个应用目录区域。
在图3所示的“Domain Setup”窗口中,我们需要提供下面三个参数:Scripts Share Folder名称,共享区域保存脚本和wsdl文件,所有的认证用户将在Limitlogin下运行,必须能访问该共享区域;IIS Server名称,运行有LimitLogin Web Service的IIS机器名;LimitLogin Web Service的名称,这下你知道前面需要牢牢记住的原因了吧!
至于窗口底部的这个复选框,原本是为系统的安装而配置,建议选中为好。接下来,我们需要建立LimitLogin应用目录区域,此时会弹出一个对话框,你可以在下拉列表框中选择需要建立LimitLogin应用目录区域的Domain Controller,在成功完成该步骤后,会显示安装Domain setup的最后的提示。
(3)Install LimitLogin AD MMC add-in tools on this machine。这个选项最后才会运行,主要是复制一些文件到\%windir%目录,这里你只能从Active Directory MMC运行LimitLogin的机器。以后,如果你希望运行LimitLogin AD MMC附加工具,只需简单的在一个用户,机器或是OU/Container右键选择“LimitLogin Tasks”就可以了。
需要说明的是,你可以运行LimitLoginADSetup.msi选择在你想要使用AD MMC集成功能的计算机上进行安装,或者也可以在“program fileslimitloginLimitLoginADSetup.exe”依次用“/ForestPrep”和“/DomainPrep”进行设置。
手动配置和脚本
首先,你需要将“Program FilesLimitLoginScripts”文件夹复制至“Domain Setup”那一步指定的共享文件夹中,例如\ServernameShare。
1. 配置Login和Logoff脚本的步骤
(1)开启Active Directory用户和计算机。
(2)右击域对象打开属性窗口,切换到组策略标签页,然后修改默认的Domain策略。
(3)依次选择“User Configuration→Windows Settings→Scripts”,在Logon脚本中,从脚本共享路径加入llogin.vbs;在Logoff脚本中,从脚本共享路径加入llogoff.vbs。
2.配置“Trust for Delegation”
(1)开启Active Directory用户和计算机。
(2)在“Domain→Computers”右键单击IIS服务器对象,打开属性窗口后切换到Delegation标签页。
(3)选择“Trust this computer for delegation to specified services only”和“Use Kerberos only”。
(4)单击“Add”按钮,选择DC(Domin Controller)计算机的名称,列表得出可用服务,我们需要在域上为计算机选择LDAP服务。
或者,你也可以通过选择“Trust this computer for delegation to any service”选项,以信任所有的服务。
设置LimitLogin客户端
为了在LimitLogin服务下工作,我们需要在每一个域成员机器上运行LimitLoginClientSetup.msi来安装客户端。客户端的安装包括:
(1)SOAP Runtime(需要连接Web Service)。
(2)WTSApiAx.dll(发送到Web Service前需要收集Session ID)。
(3)LLoginSessions.exe(可选项,当超出限额时,用来显示之前登录的用户列表)。
配置LimitLogin Client安装包有很多方法,例如使用SMS、login scripts、Group Policies等,比较简单的办法是在Silent模式下运行客户端安装,此时可以在命令行下运行如下代码LimitLoginClientSetup.msi /qn”,或者你可以参考http://msdn.microsoft.com/library/default.asp?url=/library/en-us/msi/setup/command_line_options.asp页面的介绍,这里就不多说了。
诊断与维护
LimitLogin有一个很重要的命令行程序:LLogincmd.exe,这个文件在本地的“program filesLimitLogin”目录下可以找到,包括如下参数:
/Diag or /d:显示状态信息。
/Report or /r:为域生成登录信息CSV文件报告。
/Update or /u:收集、检验、比较域上的用户信息,确保始终处于最新状态。
/ClearLogins or /c:从数据库清除所有登录信息。