AD域用户同步实名审计和实名管理配置及使用说明

1、 北京百卓网络技术有限公司AD域用户同步实名审计和实名管理配置及使用说明北京百卓网络有限公司2010年1月29日目 录1实名审计和实名管理功能简介22AD域服务器配置说明33PatrolFlow设备配置说明84实名同步使用说明94.1 静态分配IP时，一个域帐号登陆一台PC实名情况94.2 动态获取IP时，一个域帐号登陆一台PC实名情况104.3 多个域帐号登陆一台PC时实名情况104.4 多个域帐号登陆多台PC时实名情况125故障诊断131实名审计和实名管理功能简介AD域用户实名审计和实名管理是百卓网络PatrolFlow信息安全网关设备的一个功能，此功能是针对微软AD域环境，通过与域帐号进

2、行同步，解决了用户的实名审计和实名管理的问题。实名审计：通过与AD域帐号进行实名同步，可基于用户域帐号形式，实名记录用户的上网行为，以便于网管人员更直观查询用户行为。实名管理：通过与AD域帐号进行实名同步，可基于用户域帐号对象，为各用户分别配置不同的上网策略，以便于网管人员更灵活的管理用户的上网行为。AD域环境网络拓扑图工作原理简介：在微软域环境中，当客户端PC每次域登陆时，自动从域服务器上执行预先定义的组策略，该组策略向客户端PC推送登陆脚本，该脚本将PC的IP地址和域帐号推送到PatrolFlow设备，并进行用户名同步；当客户端PC域注销时，执行注销脚本，将该域帐号置为离线状态。AD域帐号

3、同步PatrolFlow设备界面2AD域服务器配置说明第一步：单击“开始”，单击“管理工具”，单击“Active Directory 用户和计算机”，如下图。第二步：点选域名，单击鼠标右键，选择“属性”，如下图。第三步：在弹出的域属性窗口中，选择“组策略”标签，如下图。第四步：点选“Default Domain Policy”后，单击“编辑”按钮，如下图。第五步：用户配置Windows设置脚本（登陆/注销），在右侧窗口，点选“登陆”，单击“属性”，如下图。第六步：单击“显示文件”按钮，将登陆脚本程序拷贝到此文件夹内，如下图。第七步：单击“添加”按钮，弹出添加脚本窗口，如下图。第八步：单击“浏览

4、”按钮，选择刚拷贝的脚本程序，单击“打开”按钮，如下图。第九步：在“脚本参数”中，填入PatrolFlow设备的IP地址，单击“确定”按钮，如下图。第十步：单击“确定”按钮，完成登陆脚本的配置。第十一步：按照第五步到第十步，完成注销脚本的添加。第十二步：单击“开始”，单击“运行”，输入“cmd”，单击“确定”，在命令行窗口中，输入“gpupdate”命令，更新组策略。3PatrolFlow设备配置说明第一步：打开IE浏览器，在地址栏输入“https:/设备IP地址:8443，输入用户名和密码，登陆到设备。第二步：单击“用户管理”，单击“用户配置”，选择“实名配置”标签，单击“用户实名”后的“启

5、用”按钮，如下图。第二步：单击“用户管理”，单击“用户配置”，在“用户配置”页面，查看下方出现“实名用户同步”按钮，说明已启用实名同步功能，如下图。4实名同步使用说明4.1 静态分配IP时，一个域帐号登陆一台PC实名情况场景说明：在Microsoft域环境中，用户配置了静态IP地址，用户具有个人独享的域帐号，使用个人独享的PC登陆域，针对此类用户，按照如下步骤进行配置。配置步骤：第一步：当使用wanglei帐号登陆域后，查看PatrollFlow设备用户配置列表，用户名更新为“wanglei-1-216”，类型为“设备识别”。第二步：在左侧栏内，点选用户“wanglei-1-216”后，单击“

6、实名用户同步”按钮后，用户名更新为“wanglei”，类型变为“手动添加”的管理用户。第三步：在做“上网策略”和“审计策略”时，就可基于“wanglei”用户做策略配置。4.2 动态获取IP时，一个域帐号登陆一台PC实名情况场景说明：在Microsoft域环境中，用户使用DHCP服务器方式获取IP时，用户PC的IP可能会改变，针对此种情况，按照如下步骤进行配置。配置步骤：第一步：一台PC通过DHCP方式获取到IP：15，使用帐号wanglei登陆域，查看PatrollFlow设备用户配置列表，用户名更新为wanglei-1-215，类型为“设备识别”。将用户wanglei

7、-1-215设置为实名用户同步，用户名更新为wanglei，类型为“手动添加”。在此PC上，注销wanglei域用户，当此PC通过DHCP获取到另一IP：16时 ，再使用帐号wanglei登陆域，此时，wanglei用户记录的IP地址更新为新获取的IP地址。4.3 多个域帐号登陆一台PC时实名情况场景说明：在Microsoft域环境中，当有用户共用某台电脑，并分别使用各自的域帐号登陆时，针对此种情况，按照如下步骤进行配置。配置步骤：第一步：当使用wanglei帐号登陆域后，查看PatrollFlow设备用户配置列表，用户名更新为wanglei-1-216，类型为“设备识别

8、”。第二步： 在左侧选择栏内，点选用户“wanglei-1-216”后，单击“实名用户同步”按钮后，用户名更新为“wanglei”，类型变为“手动添加”的管理用户。第三步：在此PC上，注销wanglei帐号，使用liangyu帐号登陆域，此时用户列表中，wanglei这条记录的IP就被清空，新登陆的域用户名更新为liangyu-1-216，类型为“设备识别”，IP为该PC的IP地址。第四步：在左侧选择栏内，点选用户“liangyu-1-216”后，单击“实名用户同步”按钮后，用户名更新为“liangyu”，类型变为“手动添加”的管理用户。第五步：在此PC上，注销liangyu帐号，用wangl

9、ei帐号登陆域，此时用户列表中，liangyu这条记录的IP就被清空，wanglei这条记录的IP为该PC的IP地址。第六步：在做“上网策略”和“审计策略”时，可基于“wanglei”和“liangyu”用户做策略配置。4.4 多个域帐号登陆多台PC时实名情况场景说明：在Microsoft域环境中，一个域帐号可能会分配给多个用户使用，针对此种情况，按照如下步骤进行配置。配置步骤：第一步：一台PC使用域帐号wanglei登陆系统，查看PatrollFlow设备用户配置列表，用户名更新为wanglei-1-215，类型为“设备识别”。第二步：另一台PC使用域帐号wanglei登陆系统，查看Patr

10、ollFlow设备用户配置列表，用户名更新为liangyu-1-220，类型为“设备识别”。第三步：在左侧栏内，点选这2个用户后，设置成管理用户，此2条记录用户名不变，类型为“手动添加”。第四步：在做“上网策略”和“审计策略”时，可基于“wangle-1-215”和“wangle-1-22-”用户做策略配置。重要提示：基于帐号复用配置的“上网策略”和“审计策略”，由于实现基制上原因，在用户注销后，策略也会丢弃，所以建议在实际使用环境中，尽量避免帐号复用。5故障诊断当按照上述步骤，正确配置了AD服务器和PatrolFlow设备后，发现有些PC域登陆后，用户名没有更新为实名形式，请按照下述步骤进行

11、排查：第一步：检查未同步用户名的PC网络连通性，确保其与AD服务器和PatrolFlow设备的网络可达性。第二步：在未同步用户名的PC上，进入系统用户设置文件夹，查看是否有login.txt文件。第三步：打开login.txt文件，查看此文件下是否正确记录域帐号和本机IP。第四步：登陆到AD服务器上，执行以下步骤：1开始管理工具域控制器安全策略本地策略审核策略审核登录事件选择“成功”选项，关闭“域控制器安全策略”管理单元。2. 在命令行提示符窗口中，输入“GPUDATE/FORCE”，然后按 “回车”，立即刷新本地策略。3. 开始“运行”并输入“EVENTVWR.MSC”安全性查看登陆信息。4在未同步用户名的PC上，查看该PC登陆日志信息，如果该PC登陆后， “用户”是显示该PC的计算机名，而不是登陆域帐号情况，请检查该PC的DNS设置。确保该PC的首选DNS为AD服务器。第五步：将2个脚本login.exe和lo