Windows量身定做的登入管理工具

LimitLogin是微軟專門為Windows Server 2003量身定做的一個登入管理工具，其功能十分強大，包括限制域中的使用者登入數、分類顯示域中任何使用者的登入資訊、整合至AMD(Active Directory MMC)進行管理配置、產生CSV和XML格式的登入資訊，這些功能對普通使用者來說意義並不大，但對商業使用者，例如銀行、圖書館、ISP等行業有著廣泛的需求。　　

　　下載與安裝

　　目前，微軟尚未提供官方網站，如果你感興趣的話，可以從http://download.microsoft.com/download/f/d/0/fd05def7-68a1-4f71-8546-25c359cc0842/limitlogin.exe下載，目前最新版本是1.0。該軟體的基本配置要求為Windows XP+.NET Framework 1.1或Windows Server 2003，微軟給出的建議是Windows 2003 Domain Controller，並且在域中至少有一台Windows 2003 Domain Controller。　　

　　LimitLogin的安裝過程十分複雜，分為以下幾步：　　

　　1．安裝LimitLogin Web Service　　

　　1所示，安裝時需要定製Web Service的名稱，預設是WSLimitLogin，假如你需要更改，那麼請一定牢牢記住，因為將在Active Directory Setup中用到這個名稱，同時也可以在這裡定製訪問Web Service的連接埠號碼。

　　

　　 2．安裝LimitLogin Active Directory　　

　　LimitLogin Web Service開始運行後，你還需要繼續安裝LimitLogin的Active Directory Setup，運行下載回來的LimitLoginADSetup.msi，2所示，這裡有三個複選框，如果你是第一次安裝，那麼請全部選中。　　

　　(1)Prepare your Active Directory Forest for LimitLogin。這個選項將執行如下操作：更新配置，加入LimitLogin AD MMC控制功能表；擴充Forest schema，包括LimitLogin類和屬性。

　　這裡，你需要擁有Schema Administrator的許可權，然後會出現一個對話方塊，單擊“OK”按鈕進行確認，系統將在\%windir%\system32\和\program files\Limitlogin\目錄之下建立詳細的日誌，這一步完成之後，就可以開始佈建網域到LimitLogin了。
　　

　　(2)Pepare your Active Directory Domain for LimitLogin。這個選項將執行如下操作：建立並配置llogin.vbs、llogoff.vbs、limitlogin.wsdl等檔案；為LimitLogin建立一個應用目錄地區。　　

　　在圖3所示的“Domain Setup”視窗中，我們需要提供下面三個參數：Scripts Share Folder名稱，共用地區儲存指令碼和wsdl檔案，所有的認證使用者將在Limitlogin下運行，必須能訪問該共用地區；IIS Server名稱，運行有LimitLogin Web Service的IIS機器名；LimitLogin Web Service的名稱，這下你知道前面需要牢牢記住的原因了吧！

　　至於視窗底部的這個複選框，原本是為系統的安裝而配置，建議選中為好。接下來，我們需要建立LimitLogin應用目錄地區，此時會彈出一個對話方塊，你可以在下拉式清單方塊中選擇需要建立LimitLogin應用目錄地區的Domain Controller，在成功完成該步驟後，會顯示安裝Domain setup的最後的提示。　

　　(3)Install LimitLogin AD MMC add-in tools on this machine。這個選項最後才會運行，主要是複製一些檔案到\%windir%目錄，這裡你只能從Active Directory MMC運行LimitLogin的機器。以後，如果你希望運行LimitLogin AD MMC附加工具，只需簡單的在一個使用者，機器或是OU/Container右鍵選擇“LimitLogin Tasks”就可以了。　　

　　需要說明的是，你可以運行LimitLoginADSetup.msi選擇在你想要使用AD MMC整合功能的電腦上進行安裝，或者也可以在“\program files\limitlogin\LimitLoginADSetup.exe”依次用“/ForestPrep”和“/DomainPrep”進行設定。

　　手動設定和指令碼

　　首先，你需要將“\Program Files\LimitLogin\Scripts”檔案夾複製至“Domain Setup”那一步指定的共用資料夾中，例如\\Servername\Share。　　

　　1． 配置Login和Logoff指令碼的步驟　　

　　(1)開啟Active Directory使用者和電腦。　　

　　(2)右擊域對象開啟屬性視窗，切換到組策略標籤頁，然後修改預設的Domain策略。　　

　　(3)依次選擇“User Configuration→Windows Settings→Scripts”，在Logon指令碼中，從指令碼共用路徑加入llogin.vbs；在Logoff指令碼中，從指令碼共用路徑加入llogoff.vbs。　　

　　2．配置“Trust for Delegation”　

　　(1)開啟Active Directory使用者和電腦。　　

　　(2)在“Domain→Computers”按右鍵IIS伺服器對象，開啟屬性視窗後切換到Delegation標籤頁。　　

　　(3)選擇“Trust this computer for delegation to specified services only”和“Use Kerberos only”。　　

　　(4)單擊“Add”按鈕，選擇DC(Domin Controller)電腦的名稱，列表得出可用服務，我們需要在域上為電腦選擇LDAP服務。　　

　　或者，你也可以通過選擇“Trust this computer for delegation to any service”選項，以信任所有的服務。

　　設定LimitLogin用戶端

　　為了在LimitLogin服務下工作，我們需要在每一個域成員機器上運行LimitLoginClientSetup.msi來安裝用戶端。用戶端的安裝包括：　　

　　(1)SOAP Runtime(需要串連Web Service)。　　

　　(2)WTSApiAx.dll(發送到Web Service前需要收集Session ID)。
　　
　　(3)LLoginSessions.exe(可選項，當超出限額時，用來顯示之前登入的使用者列表)。　　

　　配置LimitLogin Client安裝包有很多方法，例如使用SMS、login scripts、Group Policies等，比較簡單的辦法是在Silent模式下運行用戶端安裝，此時可以在命令列下運行如下代碼LimitLoginClientSetup.msi /qn”，或者你可以參考http://msdn.microsoft.com/library/default.asp?url=/library/en-us/msi/setup/command_line_options.asp頁面的介紹，這裡就不多說了。　　
　　診斷與維護

　　LimitLogin有一個很重要的命令列程式：LLogincmd.exe，這個檔案在本地的“\program files\LimitLogin”目錄下可以找到，包括如下參數：　　

　　/Diag or /d：顯示狀態資訊。　　

　　/Report or /r：為域產生登入資訊CSV檔案報告。　　

　　/Update or /u：收集、檢驗、比較域上的使用者資訊，確保始終處於最新狀態。　　

　　/ClearLogins or /c：從資料庫清除所有登入資訊。