“Adconf”的版本间的差异
来自WFilter上网行为管理系统文档和指南
(→配置登录注销脚本) |
|||
第54行: | 第54行: | ||
[[文件:adclient02.png|600px]] | [[文件:adclient02.png|600px]] | ||
+ | |||
参数分别为:类型(login/logout),WFilter的IP,通讯密钥。 | 参数分别为:类型(login/logout),WFilter的IP,通讯密钥。 | ||
2017年12月31日 (日) 19:15的版本
1 域账号模块
“域账号”模块可以使WFilter NGF和微软的Active Directory集成,从而实现如下功能:
- 检测在线客户端的域账号。
- 基于域账号设置上网行为管理和带宽优化的策略。
- 记录域账号的上网行为。
如图:
- 实时流量图:
- 应用对象选择:
2 域账号配置
“域账号”模块必须有域管理员的用户名和密码。具体配置描述如下。
- 配置项:
- 域控制器IP:域控制器(domain controller)的IP地址。
- 端口:域控制器端口,一般是389。
- 域管理员账号:具有管理员权限的账号和密码,且该管理员必须属于“Domain Admins”组。
- 域名:域dns名称。
- 域控制器位置:域控制器位于内网和外网时,WFilter通过不同的机制获取登录的域账号信息。
- 脚本通讯密码:域登录注销脚本的通讯密钥,需要和adclient的参数一致。
- 高级配置项:
- 轮询时间:轮询域控制器的时间,默认10秒一次。如果启用了登录注销脚本,可以不轮询域控制器。
- 账号超时时间:超时后,会认为账号已经退出。
- 自动同步:自动从域控制器获取最新的用户列表。
- 请注意:
- 域控制器在外网和内网时,WFilter会通过不同的机制去获取域账号,一般情况都是在内网。
- 建议启用“自动同步”功能,这样当域控制器中增加或者删除用户时,可以自动同步到WFilter NGF系统。
- 只有在客户机重新登录域时,WFilter NGF才可以获取到域用户的信息。所以启用后,需要等待一段时间才可以获取到登录的域账号。
- 默认的账号超时时间是30小时,如果客户机电脑超过30小时没有重新登录域,那么之前检测到的账号就会过期不再显示。您可以根据自己的需要进行调整。如果启用了登录注销脚本,可以延长该超时时间。
- 在有些情况下,某些软件会自动登录域帐号,从而使得WFilter NGF不能检测到实际的帐号。这种情况下,可以把自动登录的账号加入“忽略下表中的账号”中去。
3 登录注销脚本
AD域里面并不存储账号登陆的IP地址信息,只有在登录的过程中获取。WFilter获取登录的域账号有三种方式:
- 每隔10秒轮询域控制器。(内网模式)
- 监控登录的数据包,从而获取域账号。(外网模式)
- 通过域的“登录注销”脚本获取。(需要在组策略中进行配置)
其中,脚本模式的准确率是最高的,但是配置稍复杂些。轮询模式配置简单透明,但是只能获取登录,不能检测账号的注销。所以,一般建议两者结合使用。
3.1 配置登录注销脚本
- 下载adclient.exe程序,拷贝到域控制器的Script/Logon和Script/Logoff文件夹里面去。如下图:
- 在组策略的“用户配置”->“Windows设置”->“脚本(登录/注销)”中,添加登录脚本,如下图:
参数分别为:类型(login/logout),WFilter的IP,通讯密钥。
- 在组策略的“用户配置”->“Windows设置”->“脚本(登录/注销)”中,添加注销脚本,如下图: