Como impedir mltiplos logons em uma rede com Active Directory

Por Marcelo Ramos e Tiago Souza Data de criao: !"#$" ##%

Resumo &ste documento apresenta uma 'orma alternativa a so't(ares de mercado para controle de logon de usu)rio* &+plicamos como limitar o logon em uma rede ,ue utiliza Active Directory e -roup Policies*

Como impedir mltiplos logons em uma rede com Active Directory

.* /ntroduo O processo que vamos descrever aborda como impedir que o usurio possa se logar em mais de uma estao de trabalho com o mesmo login de rede do domnio. No se trata do recurso do Active Directory ( ig!" onde podemos limitar o login a uma ou mais esta#es$ pois nesse caso o bloqueio %ica limitado a uma lista pr&'de%inida de mquinas ( ig(". A grande desvantagem & que caso se)a necessria a troca de mquinas$ geraria trabalho manual para o administrador de rede$ que teria que alterar a lista a cada ve* que isso acontecesse.

ig! + ,ropriedade de Account do Active Directory

ig( + -ista com computadores

.sse documento tem como %inalidade e/plicar como limitar mais de um login em qualquer mquina da rede de %orma automtica$ no havendo necessidade de associar determinada mquina a um usurio espec%ico. ,ara isso vamos utili*ar o Active Directory$ 0,Os (0roup ,oliciy Ob)ects"$ 1cripts de -ogon e -ogo%% e banco de dados 12- ./press. * Pr01re,uisitos

Active Directory com domnio previamente con%igurado .sta#es 3indo4s (555 ou superior 12- ./press (%erramenta gratuita$ podendo ser instalada no mesmo servidor que hospeda o Active Directory. .m nosso e/emplo trabalhamos com a verso (556" 0,78 (0roup ,olicy 7anagement 8onsole + %erramenta gratuita para edio de polticas de grupo"

2* Scripts de 3ogon4 3ogo'' e S53

,ara bai/ar os scripts de -ogon$ -ogo%% e 12-$ clique no lin9 abai/o. Os scripts esto comentados para %acilitar o entendimento. Scripts.Zip Nos scripts login.vbs e logo%%.vbs$ onde aparece a string de cone/o com o banco de dados$ ser preciso trocar os ::: pelos dados reais de seu ambiente. String de Cone+o ;,rovider<12-O-.D=.!> ,ass4ord<:::>,ersist 1ecurity ?n%o<@rue>Aser ?D<:::>?nitial 8atalog<-O0ON>Data 1ource<:::; Aser ?D < Asurio com permisso no banco de dados ,ass4ord < 1enha do usurio con%igurado no campo Aser ?D Data 1ource < Nome do servidor ( 0eralmente 7A2A?NAB12-.C,D.11 onde 7A2A?NA & o nome do servidor onde %oi instalado o 12- ./press " 6* Compartil7ando os Scripts Eamos trabalhar com dois vbscripts$ um de -ogon e outro de -ogo%%. .les devem %icar em um local da rede que o usurio tenha acesso de e/ecuo$ para isso sugerimos manter o padro do Active Directory e utili*ar o N.@-O0ON para esse %im.

$* Criao das -P8s Eamos iniciar pela criao das 0,Os com os scripts de -ogon e -ogo%%. ,ara reali*ar este procedimento iremos utili*ar o console de edio de polticas 0,78 (0roup ,olicy 7anagement 8onsole".
! + Eamos abrir o 0,78 para criarmos e editarmos nossa policie de scripts de logon e logo''. 8lique em start F run F e digite 9gpmc*msc: (sem as aspas" ( + Eamos escolher em qual Anidade Organi*acional vamos lin9ar a policy$ clicamos com o boto direito em cima dela e selecionamos a opo 9Create and 3in; a -P8 <ere***:

G + 8om o editor de policies aberto vamos e/pandirH =ser Con'iguration F >indo(s Settings F selecionar Scripts ?3ogon"3ogo''@

I + Eamos iniciar dando um duplo clique em 3ogon. A )anela de con%igurao ir se abrir e vamos clicar em Add e passar o caminho do compartilhamento criado no N.@-O0ON$ no nosso e/emplo AASC1 ######.AB&T38-8BA3ogon=nicoA3ogin*vCs

6 + Eamos agora abrir o 3ogo'' e %a*er o mesmo procedimento$ sJ que agora buscando o script de logo%% no mesmo compartilhamento AASC1######.AB&T38-8BA3ogon=nicoA3ogo''*vCs

K + ,ronto$ a poltica ) est criada. ,odemos %orar sua e/ecuo com o comando 9gpupdate "'orce:. D* S53 &+press O controle dos usurios logados & %eito atrav&s de um registro includo no banco de dados assim que ele e%etua o logon (login.vbs". 1er necessrioH ' ?nstalar o 12- ./press ' 8riar um banco de dados e nome'lo como 38-8B ' 8riar a tabela =S=AR/8S ( -ogonAnico.sql " =anco e %erramentas de administrao podem ser encontrados nos lin9s abai/oH
S53 Server ##$ &+press &dition httpHLLdo4nload.microso%t.comLdo4nloadL LIL.L I..MA.('INON'IO 5'ANG!' ON!=(=OD8 A(L12-.C,DG(P,@=..C. S53 Server Management Studio &+press 1 httpHLLgo.microso%t.comL%4lin9LQlin9id<K6!!5 S53 Server ##$ &+press &dition (it7 Advanced Services httpHLLgo.microso%t.comL%4lin9LQ lin9id<K6!5N

!* Resoluo de proClemas O Rnico problema encontrado %oi nas sess#es de terminal services. 2uando h queda ou congelamento da sesso no & e/ecutado o logo%% que por sua ve* no limpa o registro do usurio na base. ,ara limpar o registro manualmente e/ecute no 12- um dos seguintes comandosH L: D.-.@ANDO D.0?1@DO ,OD A1AAD?O :L D.8-AD. SA1AAD?O EAD8TAD(G5" 1.@ SA1AAD?O < UA1AAD?OU '' 8O-O2A. O NO7. DO A1AAD?O A2A? D.-.@. DO7 D=O.A1AAD?O1 3T.D. A1AAD?O < SA1AAD?O L: D.-.@ANDO D.0?1@DO ,OD 7A2A?NA :L D.8-AD. S7A2A?NA EAD8TAD(G5" 1.@ S7A2A?NA < U7A2A?NAU '' 8O-O2A. O NO7. DA 7A2A?NA A2A? D.-.@. DO7 D=O.A1AAD?O1 3T.D. 7A2A?NA < S7A2A?NA L: D.-.@ANDO @ODO1 O1 D.0?1@DO1 :L D.-.@. DO7 D=O.A1AAD?O1 E* Concluso O procedimento adotado nesse documento & uma alternativa simples aos so%t4ares de mercado$ pagos ou no$ como -imit-ogin da prJpria 7icroso%t. No e/iste %erramenta de monitoria$ %icando a manuteno e melhoria do processo por conta de cada administrador.

Autores:
Tiago Vieira Ferreira de Souza idealizador do site Portal Tecnologia, atua desde 2004 como Administrador de Redes, com foco em tecnologias Microsot. Formado em Tecnologia em Redes de om!utadores, M P "indo#s Ser$er 200%, M TS "indo#s Vista. Site& 'tt!&((###.!ortaltecnologia.net( )*mail& contato+tiagosouza.net Marcelo Ramos ,orges de -li$eira M P na !lataforma ..)T desde 200/, atua a a!ro0imadamente 10 anos no mercado de T2. Atualmente 3erente de T2 em em!resa de mdio !orte com foco em 4esen$ol$imento "e5. Site& 'tt!&((###.marceloramos.net(,log )*mail& mramos.oli$eira+gmail.com