AD域用户同步实名审计和实名管理配置及使用说明.doc

北京百卓网络技术有限公司 PAGE 1 内部资料 严禁外泄 AD域用户同步 实名审计和实名管理 配置及使用说明 北京百卓网络有限公司 2010年1月29日  目 录 TOC \o 1-3 \h \z \u 1．实名审计和实名管理功能简介 2 2．AD域服务器配置说明 3 3．PatrolFlow设备配置说明 8 4．实名同步使用说明 9 4.1 静态分配IP时，一个域帐号登陆一台PC实名情况 9 4.2 动态获取IP时，一个域帐号登陆一台PC实名情况 10 4.3 多个域帐号登陆一台PC时实名情况 10 4.4 多个域帐号登陆多台PC时实名情况 12 5．故障诊断 13 1．实名审计和实名管理功能简介 AD域用户实名审计和实名管理是百卓网络PatrolFlow信息安全网关设备的一个功能，此功能是针对微软AD域环境，通过与域帐号进行同步，解决了用户的实名审计和实名管理的问题。 实名审计：通过与AD域帐号进行实名同步，可基于用户域帐号形式，实名记录用户的上网行为，以便于网管人员更直观查询用户行为。 实名管理：通过与AD域帐号进行实名同步，可基于用户域帐号对象，为各用户分别配置不同的上网策略，以便于网管人员更灵活的管理用户的上网行为。 AD域环境网络拓扑图 工作原理简介：在微软域环境中，当客户端PC每次域登陆时，自动从域服务器上执行预先定义的组策略，该组策略向客户端PC推送登陆脚本，该脚本将PC的IP地址和域帐号推送到PatrolFlow设备，并进行用户名同步；当客户端PC域注销时，执行注销脚本，将该域帐号置为离线状态。 AD域帐号同步PatrolFlow设备界面 2．AD域服务器配置说明 第一步：单击“开始”，单击“管理工具”，单击“Active Directory 用户和计算机”，如下图。 第二步：点选域名，单击鼠标右键，选择“属性”，如下图。 第三步：在弹出的域属性窗口中，选择“组策略”标签，如下图。 第四步：点选“Default Domain Policy”后，单击“编辑”按钮，如下图。 第五步：用户配置→Windows设置→脚本（登陆/注销），在右侧窗口，点选“登陆”，单击“属性”，如下图。 第六步：单击“显示文件”按钮，将登陆脚本程序拷贝到此文件夹内，如下图。 第七步：单击“添加”按钮，弹出添加脚本窗口，如下图。 第八步：单击“浏览”按钮，选择刚拷贝的脚本程序，单击“打开”按钮，如下图。 第九步：在“脚本参数”中，填入PatrolFlow设备的IP地址，单击“确定”按钮，如下图。 第十步：单击“确定”按钮，完成登陆脚本的配置。 第十一步：按照第五步到第十步，完成注销脚本的添加。 第十二步：单击“开始”，单击“运行”，输入“cmd”，单击“确定”，在命令行窗口中，输入“gpupdate”命令，更新组策略。 3．PatrolFlow设备配置说明 第一步：打开IE浏览器，在地址栏输入“https://设备IP地址:8443，输入用户名和密码，登陆到设备。 第二步：单击“用户管理”，单击“用户配置”，选择“实名配置”标签，单击“用户实名”后的“启用”按钮，如下图。 第二步：单击“用户管理”，单击“用户配置”，在“用户配置”页面，查看下方出现“实名用户同步”按钮，说明已启用实名同步功能，如下图。 4．实名同步使用说明 4.1 静态分配IP时，一个域帐号登陆一台PC实名情况 场景说明： 在Microsoft域环境中，用户配置了静态IP地址，用户具有个人独享的域帐号，使用个人独享的PC登陆域，针对此类用户，按照如下步骤进行配置。 配置步骤： 第一步：当使用wanglei帐号登陆域后，查看PatrollFlow设备用户配置列表，用户名更新为“wanglei-1-216”，类型为“设备识别”。 第二步：在左侧栏内，点选用户“wanglei-1-216”后，单击“实名用户同步”按钮后，用户名更新为“wanglei”，类型变为“手动添加”的管理用户。 第三步：在做“上网策略”和“审计策略”时，就可基于“wanglei”用户做策略配置。 4.2 动态获取IP时，一个域帐号登陆一台PC实名情况 场景说明： 在Microsoft域环境中，用户使用DHCP服务器方式获取IP时，用户PC的IP可能会改变，针对此种情况，按照如下步骤进行配置。 配置步骤： 第一步：一台PC通过DHCP方式获取到IP：15，使用帐号wanglei登陆域，查看PatrollFlow设备用户配置列表，用户名更新为wanglei-1-215，类型为“设备识别”。 将用户wanglei-1-215设置