Windows - Active Directory felhasználók bejelentkezési helyének és idejének szabályozása

A hálózat biztonsága és az adatok védelme az informatika egyik legfontosabb szegmense. A Windows Software Online oldalain eddig is többször lehetett olvasni védelmi leírásokat, tippeket, trükköket annak megakadályozására, hogy adataink nehogy illetéktelen kezekbe kerüljenek. Jelen cikkünk is hasonló szellemben készült. Az Active Directory lehetőséget biztosít arra, hogy korlátozzuk a felhasználók lehetséges bejelentkezésének időpontját és helyét, ezzel növelve a hálózat biztonságát. A megvalósítás mikéntje az alábbiakban található meg.
Nézzük először, hogy miért van jelentősége az időbeni korlátozásnak. Tegyük fel, hogy az egyik felhasználó neve és jelszava, tudta nélkül illetéktelen kezekbe kerül. Beállítjuk, hogy a cég alkalmazottai csak munkaidőben, például reggel 8 órától délután 16 óráig érhetik el a kiszolgálót. Ha munkaidőn kívül próbálkozik meg valaki - akár Interneten keresztül távolról vagy modemes betárcsázással - bejelentkezni, nem jár sikerrel. Eleve ki van zárva annak a lehetősége, hogy bármilyen megosztott erőforrást el lehessen érni, hiába van birtokában valakinek érvényes név és jelszó. Persze ez még nem zárja ki annak a lehetőségét, hogy valaki munkaidőben kövessen el visszaélést. Itt jön azonban be a második lehetőség: a bejelentkezési hely korlátozása. Szintén az Active Directory beépített lehetőségéről van szó. Minden felhasználó esetében konkrétan előírható, hogy melyik gépről, vagy gépekről jelentkezhet be a kiszolgálóra. Ha másikról próbálkozik, a rendszer elutasítja. A két védelmi megoldás együttes alkalmazása már jelentősen növeli a hálózat biztonságát. Példánknál maradva, az illetéktelen személynek nem csak munkaidőben, hanem meghatározott gépeken kell elvégeznie a bejelentkezést. Minél kevesebb gépről engedélyezzük ezt, annál jobb. Ha csak reggel nyolctól délután négy óráig és csak egy adott gépről érhető el a kiszolgáló, akkor nagyon megnehezül a helyzete - és ez a rendszergazdának kedvez.
Nézzük meg, hogy lehet a gyakorlatban elvégezni a szükséges beállításokat:
Jelentkezzünk be rendszergazdai jogokkal az Active Directory tartományvezérlőre. Indítsuk el a Felügyeleti eszközök > Active Directory - felhasználók és számítógépek (Administrative Tools > Active Directory Users and Computers) konzolt. Keressük meg az adott felhasználót és kattintsunk a nevére kétszer, vagy egyszer a jobb oldali egérgombbal és utána a "Tulajdonságok" ("Properties") menüre. A megjelenő ablakban lépjünk a "Fiók" ("Account") oldalra. Található itt két nyomógomb. Kattintsunk a "Nyitvatartási idő" ("Logon Hours") feliratúra.
Táblázatos formában kék színnel jelenik meg az az időintervallum, amikor engedélyezett a felhasználó belépése. Alapértelmezésben a hét minden napján bármelyik órában. Függőlegesen az órák, vízszintesen pedig a napok találhatók. Az egér segítségével jelöljünk ki egy szakaszt, látható, hogy órás pontossággal lehet beállítani az időszakot. Ha a jobb oldalon található rádiógombokra kattintunk, a kijelölésen belüli terület a gombnak megfelelően átszíneződik. Ne feledjük, hogy kék színnel azok az órák vannak jelölve, amikor bejelentkezhet a felhasználó, fehérrel pedig azok, amikor nem. Kis gyakorlattal könnyen fel fogjuk tudni használni ezt a fajta idő beállítási módszert. Ha a "Minden" ("All") gombra kattintunk az egész hét és minden óra kijelölésre kerül, ha az oszlop vagy sor fejlécekre, akkor pedig a teljes sor vagy oszlop. Nem kötelező periodikusan ismétlődő beállításokat használni. Lehetséges az is, hogy például hétfőn 6-8-ig és szerdán 16-19-ig engedélyezzük a belépést a többi időpontban nem. Bármilyen kombinációt alkalmazhatunk.
Ha végeztünk, lépjünk ki az ablakból és kattintsunk a "Bejelentkezési hely" ("Log On To") gombra. Itt állítható, hogy mely gépekről fogadja el a szerver a bejelentkezést. Alapértelmezésben mindegyikről. Ennek korlátozásához kattintsunk "A következő számítógépekre" ("The following computers") rádiógombra. A "Számítógépnév" ("Computer name") mezőbe írjuk be annak a gépnek a NetBIOS nevét, amelyről engedélyezzük a bejelentkezést. Ezután kattintsunk a "Hozzáadás" ("Add") gombra. A lépéseket megismételve (ha szükséges) kialakul a jogosult gépek listája. Egy gép eltávolításához kattintsunk a nevére, majd az "Eltávolítás" ("Remove") gombra. Ha elgépeltünk egy nevet nem kell eltávolítani és újra felvenni a listába, elég ha rákattintunk és utána a "Szerkesztés" ("Edit") gombra, ezzel átírhatóvá válik a név. Az előbbiekkel kapcsolatban felmerülhet egy kérdés: Honnan tudjuk meg egy gép NetBIOS nevét? Nos ez a Windows 2000-ben megegyezik a gépnévvel. Parancssorban írjuk be: HOSTNAME vagy keressük meg a Vezérlőpult > Hálózati és telefonos kapcsolatok > Speciális > Hálózati azonosítás (Control Panel > Network and Dial-Up Connections > Advanced > Network Identification) menüpontot. Itt "A számítógép teljes neve" ("Full computer name") felirat mellett megtalálható a keresett név.
Mi történik akkor, ha valaki az engedélyezett időszakán kívül kísérli meg a bejelentkezést? A következő hibaüzenetet kapja: "A fiók le van tiltva. Lépjen kapcsolatba a rendszergazdával" ("Your account has been disabled. Please see your system administrator."). És ha nem megfelelő gépről próbálkozik? Akkor pedig ezt fogja látni: "Nem léphet be a fiók korlátozásai miatt" ("Unable to log you on because of an account restriction").