我发现我的 Active Directory 域中的用户可以多次并行登录其帐户。我的意思是,例如 2 台机器,每次都登录同一个帐户。
这样好吗?我认为这种维护用户会话的方式存在安全问题,因为如果有人知道用户的密码,那么帐户的正确用户甚至不知道有人登录了他的帐户。本地登录不会让第二个用户在没有提示注销用户的情况下登录,我认为这是一种很好的机制。另一件事是,2 个人在同一个帐户上工作可能会导致数据丢失,从而将更改保存到 1 个同步文件 (AD)。
我正在尝试解决更好的问题:阻止(无论如何)多次登录 AD 帐户的能力,或者为了方便起见保持原样。
答案1
这基本上是无害的。如果您的用户使用漫游配置文件或文件夹重定向到网络共享,则使用并行登录可能会出现问题。
有一些方法可以限制并行登录的能力:
- 限制登录是一个 Sysinternals 工具,具有自己的登录数据库和良好的 AD/MMC 集成
- 设置登录脚本,检查可能的并行登录,如果是这种情况,则再次注销用户
所有方法的缺点都是在登录用户的上下文中由客户端发起的 - 用户可以简单地中止脚本/注销请求执行以防止再次注销。
答案2
这确实取决于您的情况。我们确实允许大多数用户拥有多个登录名,以防他们从一个办公桌转移到另一个办公桌,并且只需要在其他地方快速登录。他们可能使用的应用程序可能会强制执行单次登录,但我们的 AD 并不那么严格。
但是,如果您使用 1 个登录名来登录多个用户,那么这绝对不安全。每个用户都应该与自己的帐户相关联。