“Adconf”的版本间的差异

来自WFilter上网行为管理系统文档和指南
跳转至: 导航搜索
配置登录注销脚本
第54行: 第54行:
  
 
[[文件:adclient02.png|600px]]
 
[[文件:adclient02.png|600px]]
 +
 
参数分别为:类型(login/logout),WFilter的IP,通讯密钥。
 
参数分别为:类型(login/logout),WFilter的IP,通讯密钥。
  

2017年12月31日 (日) 19:15的版本

1 域账号模块

“域账号”模块可以使WFilter NGF和微软的Active Directory集成,从而实现如下功能:

  • 检测在线客户端的域账号。
  • 基于域账号设置上网行为管理和带宽优化的策略。
  • 记录域账号的上网行为。

如图:

  • 实时流量图:

Ros adconf 001.png

  • 应用对象选择:

Faq adconf003.png

2 域账号配置

“域账号”模块必须有域管理员的用户名和密码。具体配置描述如下。

  • 配置项:
    • 域控制器IP:域控制器(domain controller)的IP地址。
    • 端口:域控制器端口,一般是389。
    • 域管理员账号:具有管理员权限的账号和密码,且该管理员必须属于“Domain Admins”组。
    • 域名:域dns名称。
    • 域控制器位置:域控制器位于内网和外网时,WFilter通过不同的机制获取登录的域账号信息。
    • 脚本通讯密码:域登录注销脚本的通讯密钥,需要和adclient的参数一致。
  • 高级配置项:
    • 轮询时间:轮询域控制器的时间,默认10秒一次。如果启用了登录注销脚本,可以不轮询域控制器。
    • 账号超时时间:超时后,会认为账号已经退出。
    • 自动同步:自动从域控制器获取最新的用户列表。

Faq adconf001.png

Faq adconf002.png


  • 请注意:
    • 域控制器在外网和内网时,WFilter会通过不同的机制去获取域账号,一般情况都是在内网。
    • 建议启用“自动同步”功能,这样当域控制器中增加或者删除用户时,可以自动同步到WFilter NGF系统。
    • 只有在客户机重新登录域时,WFilter NGF才可以获取到域用户的信息。所以启用后,需要等待一段时间才可以获取到登录的域账号。
    • 默认的账号超时时间是30小时,如果客户机电脑超过30小时没有重新登录域,那么之前检测到的账号就会过期不再显示。您可以根据自己的需要进行调整。如果启用了登录注销脚本,可以延长该超时时间。
    • 在有些情况下,某些软件会自动登录域帐号,从而使得WFilter NGF不能检测到实际的帐号。这种情况下,可以把自动登录的账号加入“忽略下表中的账号”中去。

3 登录注销脚本

AD域里面并不存储账号登陆的IP地址信息,只有在登录的过程中获取。WFilter获取登录的域账号有三种方式:

  • 每隔10秒轮询域控制器。(内网模式)
  • 监控登录的数据包,从而获取域账号。(外网模式)
  • 通过域的“登录注销”脚本获取。(需要在组策略中进行配置)

其中,脚本模式的准确率是最高的,但是配置稍复杂些。轮询模式配置简单透明,但是只能获取登录,不能检测账号的注销。所以,一般建议两者结合使用

3.1 配置登录注销脚本

  • 下载adclient.exe程序,拷贝到域控制器的Script/Logon和Script/Logoff文件夹里面去。如下图:

Adclient01 00.png

Adclient01 01.png

  • 在组策略的“用户配置”->“Windows设置”->“脚本(登录/注销)”中,添加登录脚本,如下图:

Adclient01.png

Adclient02.png

参数分别为:类型(login/logout),WFilter的IP,通讯密钥。

  • 在组策略的“用户配置”->“Windows设置”->“脚本(登录/注销)”中,添加注销脚本,如下图:

Adclient03.png

4 相关链接