Windows量身定做的登錄管理工具

　　LimitLogin是微軟專門為Windows Server 2003量身定做的一個登錄管理工具，其功能十分強大，包括限制域中的用戶登錄數、分類顯示域中任何用戶的登錄信息、集成至AMD(Active Directory MMC)進行管理配置、生成CSV和XML格式的登錄信息，這些功能對普通用戶來說意義并不大，但對商業用戶，例如銀行、圖書館、ISP等行業有著廣泛的需求?！　?

　　下載與安裝

　　目前，微軟尚未提供官方站點，如果你感興趣的話，可以從http://download.microsoft.com/download/f/d/0/fd05def7-68a1-4f71-8546-25c359clearcase/" target="_blank" >cc0842/limitlogin.exe下載，目前最新版本是1.0。該軟件的基本配置要求為Windows XP+.NET Framework 1.1或Windows Server 2003，微軟給出的建議是Windows 2003 Domain Controller，并且在域中至少有一臺Windows 2003 Domain Controller?！　?

　　LimitLogin的安裝過程十分復雜，分為以下幾步：　　

　　1．安裝LimitLogin Web Service　　

　　如圖1所示，安裝時需要定制Web Service的名稱，默認是WSLimitLogin，假如你需要更改，那么請一定牢牢記住，因為將在Active Directory Setup中用到這個名稱，同時也可以在這里定制訪問Web Service的端口號。

　　
　　2．安裝LimitLogin Active Directory　　

　　LimitLogin Web Service開始運行后，你還需要繼續安裝LimitLogin的Active Directory Setup，運行下載回來的LimitLoginADSetup.msi，如圖2所示，這里有三個復選框，如果你是第一次安裝，那么請全部選中?！　?

　　(1)Prepare your Active Directory Forest for LimitLogin。這個選項將執行如下操作：更新配置，加入LimitLogin AD MMC控制菜單；擴展Forest schema，包括LimitLogin類和屬性。

　　這里，你需要擁有Schema Administrator的權限，然后會出現一個對話框，單擊“OK”按鈕進行確認，系統將在\%windir%\system32\和\program files\Limitlogin\目錄之下建立詳細的日志，這一步完成之后，就可以開始配置域到LimitLogin了。
　　
　　(2)Pepare your Active Directory Domain for LimitLogin。這個選項將執行如下操作：建立并配置llogin.vbs、llogoff.vbs、limitlogin.wsdl等文件；為LimitLogin建立一個應用目錄區域?！　?

　　在圖3所示的“Domain Setup”窗口中，我們需要提供下面三個參數：Scripts Share Folder名稱，共享區域保存腳本和wsdl文件，所有的認證用戶將在Limitlogin下運行，必須能訪問該共享區域；IIS Server名稱，運行有LimitLogin Web Service的IIS機器名；LimitLogin Web Service的名稱，這下你知道前面需要牢牢記住的原因了吧！
　　至于窗口底部的這個復選框，原本是為系統的安裝而配置，建議選中為好。接下來，我們需要建立LimitLogin應用目錄區域，此時會彈出一個對話框，你可以在下拉列表框中選擇需要建立LimitLogin應用目錄區域的Domain Controller，在成功完成該步驟后，會顯示安裝Domain setup的最后的提示?！?

　　(3)Install LimitLogin AD MMC add-in tools on this machine。這個選項最后才會運行，主要是復制一些文件到\%windir%目錄，這里你只能從Active Directory MMC運行LimitLogin的機器。以后，如果你希望運行LimitLogin AD MMC附加工具，只需簡單的在一個用戶，機器或是OU/Container右鍵選擇“LimitLogin Tasks”就可以了?！　?

　　需要說明的是，你可以運行LimitLoginADSetup.msi選擇在你想要使用AD MMC集成功能的計算機上進行安裝，或者也可以在“\program files\limitlogin\LimitLoginADSetup.exe”依次用“/ForestPrep”和“/DomainPrep”進行設置。

　　手動配置和腳本

　　首先，你需要將“\Program Files\LimitLogin\Scripts”文件夾復制至“Domain Setup”那一步指定的共享文件夾中，例如\\Servername\Share?！　?

　　1． 配置Login和Logoff腳本的步驟　　

　　(1)開啟Active Directory用戶和計算機?！　?

　　(2)右擊域對象打開屬性窗口，切換到組策略標簽頁，然后修改默認的Domain策略?！　?

　　(3)依次選擇“User Configuration→Windows Settings→Scripts”，在Logon腳本中，從腳本共享路徑加入llogin.vbs；在Logoff腳本中，從腳本共享路徑加入llogoff.vbs?！　?

　　2．配置“Trust for Delegation”　

　　(1)開啟Active Directory用戶和計算機?！　?

　　(2)在“Domain→Computers”右鍵單擊IIS服務器對象，打開屬性窗口后切換到Delegation標簽頁?！　?

　　(3)選擇“Trust this computer for delegation to specified services only”和“Use Kerberos only”?！　?

　　(4)單擊“Add”按鈕，選擇DC(Domin Controller)計算機的名稱，列表得出可用服務，我們需要在域上為計算機選擇LDAP服務?！　?

　　或者，你也可以通過選擇“Trust this computer for delegation to any service”選項，以信任所有的服務。

　　設置LimitLogin客戶端

　　為了在LimitLogin服務下工作，我們需要在每一個域成員機器上運行LimitLoginClientSetup.msi來安裝客戶端?？蛻舳说陌惭b包括：　　

　　(1)SOAP Runtime(需要連接Web Service)?！　?

　　(2)WTSApiAx.dll(發送到Web Service前需要收集Session ID)。
　　
　　(3)LLoginSessions.exe(可選項，當超出限額時，用來顯示之前登錄的用戶列表)?！　?

　　配置LimitLogin Client安裝包有很多方法，例如使用SMS、login scripts、Group Policies等，比較簡單的辦法是在Silent模式下運行客戶端安裝，此時可以在命令行下運行如下代碼LimitLoginClientSetup.msi /qn”，或者你可以參考http://msdn.microsoft.com/library/default.asp?url=/library/en-us/msi/setup/command_line_options.asp頁面的介紹，這里就不多說了?！　?
　　診斷與維護

　　LimitLogin有一個很重要的命令行程序：LLogincmd.exe，這個文件在本地的“\program files\LimitLogin”目錄下可以找到，包括如下參數：　　

　　/Diag or /d：顯示狀態信息?！　?

　　/Report or /r：為域生成登錄信息CSV文件報告?！　?

　　/Update or /u：收集、檢驗、比較域上的用戶信息，確保始終處于最新狀態?！　?

　　/ClearLogins or /c：從數據庫清除所有登錄信息。

原文轉自：http://www.kjueaiud.com