“Adconf”的版本间的差异

来自WFilter上网行为管理系统文档和指南
跳转至: 导航搜索
相关链接
 
(未显示同一用户的28个中间版本)
第1行: 第1行:
 
{{DISPLAYTITLE:域账号}}
 
{{DISPLAYTITLE:域账号}}
==启用域账号==
+
== 域账号模块 ==
启用域帐户监控功能后,可以对域帐户配置上网策略,要使用此功能,必须已经存在一个AD域。
+
“域账号”模块可以使WFilter NGF和微软的Active Directory集成,从而实现如下功能:
[[文件:Faq_adconf001.png]]
+
* 检测在线客户端的域账号。
<br><br>
+
* 基于域账号设置上网行为管理和带宽优化的策略。
[[文件:Faq_adconf002.png]]
+
* 记录域账号的上网行为。
 +
如图:
 +
* 实时流量图:
 +
[[文件:ros_adconf_001.png|800px]]
 +
* 应用对象选择:
 +
[[文件:Faq_adconf003.png|600px]]
  
==对域账号配置上网策略==
+
== 域账号配置 ==
[[文件:Faq_adconf003.png]]
+
“域账号”模块必须有域管理员的用户名和密码。具体配置描述如下。
 +
* 配置项:
 +
** 域控制器IP:域控制器(domain controller)的IP地址,多个域控制器IP用半角逗号分开。
 +
** 端口:域控制器端口,一般是389。
 +
** 域管理员账号:具有管理员权限的账号和密码,且该管理员必须属于“Domain Admins”组。
 +
** 域名:域dns名称。
 +
** 域名(Win2000以前版本):域的netbios名称
 +
** 域控制器位置:域控制器位于内网和外网时,WFilter通过不同的机制获取登录的域账号信息。
 +
** 脚本通讯密码:域登录注销脚本的通讯密钥,需要和adclient的参数一致。
 +
* 高级配置项:
 +
** 轮询时间:轮询域控制器的时间,默认10秒一次。如果启用了登录注销脚本,可以不轮询域控制器。
 +
** 账号超时时间:超时后,会认为账号已经退出。
 +
** 自动同步:自动从域控制器获取最新的用户列表。
 +
** 只获取下表中的OU:只获取列表中OU下的账号,为空则获取所有账号。
 +
 
 +
[[文件:Faq_adconf001.png|1000px]]
 +
 
 +
* 请注意:
 +
** 域控制器在外网和内网时,WFilter会通过不同的机制去获取域账号,一般情况都是在内网。
 +
** 建议启用“自动同步”功能,这样当域控制器中增加或者删除用户时,可以自动同步到WFilter NGF系统。
 +
** 只有在客户机重新登录域时,WFilter NGF才可以获取到域用户的信息。所以启用后,需要等待一段时间才可以获取到登录的域账号。
 +
** 默认的账号超时时间是30小时,如果客户机电脑超过30小时没有重新登录域,那么之前检测到的账号就会过期不再显示。您可以根据自己的需要进行调整。如果启用了登录注销脚本,可以延长该超时时间。
 +
** 在有些情况下,某些软件会自动登录域帐号,从而使得WFilter NGF不能检测到实际的帐号。这种情况下,可以把自动登录的账号加入“忽略下表中的账号”中去。
 +
** 只获取列表中OU为空时获取所有账号。
 +
 
 +
== 登录注销脚本 ==
 +
AD域里面并不存储账号登陆的IP地址信息,只有在登录的过程中获取。WFilter获取登录的域账号有三种方式:
 +
* 每隔10秒轮询域控制器。(内网模式)
 +
* 监控登录的数据包,从而获取域账号。(外网模式)
 +
* 通过域的“登录注销”脚本获取。(需要在组策略中进行配置)
 +
其中,脚本模式的准确率是最高的,但是配置稍复杂些。轮询模式配置简单透明,但是只能获取登录,不能检测账号的注销。所以,'''一般建议两者结合使用'''。
 +
=== 配置登录注销脚本 ===
 +
* [[Media:adclient.zip|下载adclient.exe程序]],拷贝到域控制器的Script/Logon和Script/Logoff文件夹里面去。如下图:
 +
 
 +
[[文件:adclient01_00.png|600px]]
 +
 
 +
[[文件:adclient01_01.png|600px]]
 +
 
 +
* 在组策略的“用户配置”->“Windows设置”->“脚本(登录/注销)”中,添加登录脚本,如下图:
 +
 
 +
[[文件:adclient01.png|600px]]
 +
 
 +
[[文件:adclient02.png|600px]]
 +
 
 +
参数分别为:类型(login/logout),WFilter的IP,通讯密钥。
 +
 
 +
* 在组策略的“用户配置”->“Windows设置”->“脚本(登录/注销)”中,添加注销脚本,如下图:
 +
 
 +
[[文件:adclient03.png|600px]]
 +
 
 +
== 常见问题 ==
 +
* Server 2019提示“Cannot connect to server. Error was NT code 0xc000020d”
 +
Server 2019做域控制器时,域账号模块会提示“cannot connect to server. Error was NT code 0xc000020d”。这是因为server 2019默认没有启用SMB 1.0。需要在服务管理器中,安装SMB 1.0/CIFS File Sharing Support。如图:
 +
 
 +
[[文件:smb.png|600px]]
 +
 
 +
== 相关链接 ==
 +
* [http://www.imfirewall.com/blog/post/559.html 怎样禁止局域网内未加入域的电脑上网?]
 +
* [http://www.imfirewall.com/blog/post/539.html Windows server 2016如何设置登录注销脚本?]
 +
* [http://www.imfirewall.com/blog/post/259.html 怎样禁止非域客户机上网?禁止未登录到域的电脑上网?]
 +
* [http://www.imfirewall.com/blog/post/254.html 如何对域账号配置上网策略?]
 +
* [http://blog.wfilterngf.com/?p=102 遇到“size limit exceeded”错误信息如何处理?]
 +
* [https://www.bilibili.com/video/BV1bC4y1e7YQ 域账号功能的视频教程]

2024年1月15日 (一) 15:48的最新版本

1 域账号模块

“域账号”模块可以使WFilter NGF和微软的Active Directory集成,从而实现如下功能:

  • 检测在线客户端的域账号。
  • 基于域账号设置上网行为管理和带宽优化的策略。
  • 记录域账号的上网行为。

如图:

  • 实时流量图:

Ros adconf 001.png

  • 应用对象选择:

Faq adconf003.png

2 域账号配置

“域账号”模块必须有域管理员的用户名和密码。具体配置描述如下。

  • 配置项:
    • 域控制器IP:域控制器(domain controller)的IP地址,多个域控制器IP用半角逗号分开。
    • 端口:域控制器端口,一般是389。
    • 域管理员账号:具有管理员权限的账号和密码,且该管理员必须属于“Domain Admins”组。
    • 域名:域dns名称。
    • 域名(Win2000以前版本):域的netbios名称
    • 域控制器位置:域控制器位于内网和外网时,WFilter通过不同的机制获取登录的域账号信息。
    • 脚本通讯密码:域登录注销脚本的通讯密钥,需要和adclient的参数一致。
  • 高级配置项:
    • 轮询时间:轮询域控制器的时间,默认10秒一次。如果启用了登录注销脚本,可以不轮询域控制器。
    • 账号超时时间:超时后,会认为账号已经退出。
    • 自动同步:自动从域控制器获取最新的用户列表。
    • 只获取下表中的OU:只获取列表中OU下的账号,为空则获取所有账号。

Faq adconf001.png

  • 请注意:
    • 域控制器在外网和内网时,WFilter会通过不同的机制去获取域账号,一般情况都是在内网。
    • 建议启用“自动同步”功能,这样当域控制器中增加或者删除用户时,可以自动同步到WFilter NGF系统。
    • 只有在客户机重新登录域时,WFilter NGF才可以获取到域用户的信息。所以启用后,需要等待一段时间才可以获取到登录的域账号。
    • 默认的账号超时时间是30小时,如果客户机电脑超过30小时没有重新登录域,那么之前检测到的账号就会过期不再显示。您可以根据自己的需要进行调整。如果启用了登录注销脚本,可以延长该超时时间。
    • 在有些情况下,某些软件会自动登录域帐号,从而使得WFilter NGF不能检测到实际的帐号。这种情况下,可以把自动登录的账号加入“忽略下表中的账号”中去。
    • 只获取列表中OU为空时获取所有账号。

3 登录注销脚本

AD域里面并不存储账号登陆的IP地址信息,只有在登录的过程中获取。WFilter获取登录的域账号有三种方式:

  • 每隔10秒轮询域控制器。(内网模式)
  • 监控登录的数据包,从而获取域账号。(外网模式)
  • 通过域的“登录注销”脚本获取。(需要在组策略中进行配置)

其中,脚本模式的准确率是最高的,但是配置稍复杂些。轮询模式配置简单透明,但是只能获取登录,不能检测账号的注销。所以,一般建议两者结合使用

3.1 配置登录注销脚本

Adclient01 00.png

Adclient01 01.png

  • 在组策略的“用户配置”->“Windows设置”->“脚本(登录/注销)”中,添加登录脚本,如下图:

Adclient01.png

Adclient02.png

参数分别为:类型(login/logout),WFilter的IP,通讯密钥。

  • 在组策略的“用户配置”->“Windows设置”->“脚本(登录/注销)”中,添加注销脚本,如下图:

Adclient03.png

4 常见问题

  • Server 2019提示“Cannot connect to server. Error was NT code 0xc000020d”

Server 2019做域控制器时,域账号模块会提示“cannot connect to server. Error was NT code 0xc000020d”。这是因为server 2019默认没有启用SMB 1.0。需要在服务管理器中,安装SMB 1.0/CIFS File Sharing Support。如图:

Smb.png

5 相关链接