[Ageron]

Цитата vfilatov87:

Но вот второе подключение с этими же учетными данными с другого ПК должно быть запрещено. Запрет должен быть именно по учетке! »

так не получится.
как вы будете определять, какое из подключений под одним и темже пользователем, правильное?

[vfilatov87]

Цитата:

как вы будете определять, какое из подключений под одним и темже пользователем, правильное?

По времени, какое подлкючение старее, то и правильное

[Iska]

vfilatov87, насколько я понимаю, такое не реализуемо в принципе в существующем протоколе.

Просто разъясните пользователям, что делиться друг с другом данными своих учётных записей — нельзя.

[paranoya]

Теоретически, можно на журнал безопасности создать скрипт, который отрабатывает по коду события авторизации. В самом скрипте проверять какое это подключение за определённый промежуток времени. Если первое, то вносить в некий файл информацию об IP-адресе подключения. Если это подключение, которое превышает лимит, то дропать его, к примеру, через динамически изменяемое правило в брандмауэре, либо закрывать через команду powershell.
Но правильнее раздать каждому юзеру свои логин/пароль. Если, конечно, все эти ограничения преследуют не озвученную цель, достижение которой можно было сделать другим путём, а не этим ограничением количества подключений.

[vfilatov87]

paranoya, Неозвученная цель:
Есть программа Консультант Плюс, лицензии у неё конкурентные. Лицензий мало. Пользователей много.
Входа по логину/паролю у программы нет. Каких-то пулов лицензий тоже.

Запускается Консультант из расшаренной папки. Если пользователей в домене я могу ограничить политиками,
то вот как поступить с пользователями, которые не в домене?

Поэтому я обратился с таким неординарным вопросом.

[paranoya]

• Завести каждому пользователю учётку в AD и пусть под ней они подключаются, вне зависимости от того, в домене компьютер или нет.
• Сделать группу безопасности, в которую включить всех пользователей, которым нужен доступ к Консультанту.
• Выдать этой группе права на чтение из папки с Консультантом.
• Дальше курить бамбук и всем, кто превышает квоту подключения к Консультанту, а не к серверу, предлагать пробежаться по отделам и попросить кого-нибудь закрыть Консультант. Или пусть пишут бумажку руководству на увеличение количества лицензий.

PS. Если мне не изменяет память, то Консультант все подключения пишет себе в какой-то файл. Можно попробовать поиграть с этим файлом, как с его правами, так и с содержимым.

[vfilatov87]

paranoya, мне тут на хабре подсказали организовать доступ через RDP. Возможно это решение мне подойдет.

Но хотелось бы услышать ваше мнение по этому поводу?

[Busla]

Цитата vfilatov87:

Неозвученная цель: Есть программа Консультант Плюс, лицензии у неё конкурентные. Лицензий мало. Пользователей много. »

и?
цель так и не озвучена

Новые пользователи выкидывают старых, а вы хотите наоборот? - чтобы отклоняло новые подключения?
Или о чём речь?

[paranoya]

Цитата vfilatov87:

мне тут на хабре подсказали организовать доступ через RDP. Возможно это решение мне подойдет. »

Неважно каким образом юзер запускает Консультант, последний все подключения пишет в свой файл. Я не помню точно, пишет он IP-адрес или нет, а вот логин юзера туда записывается.
Если RDP-подключение для одного юзера будет использоваться разными людьми с разных компьютеров, то вариантов два: первый - каждый новое подключение через RDP будет выбивать предыдущее, вариант два - новые подключение под тем же юзером просто не будут подключаться.
И в том, и в другом случае всё бессмысленно, ибо не будет четырёх подключенных пользователей Иванов, а будет только один.
Кроме этого, для RDP-подключений нужно поднимать сервер терминалов и покупать лицензии для четырёх людей, а это около 9 тыс. рублей на одного человека. Что возможно может сравниться со стоимостью увеличения количества лицензий для Консультанта.
Мало того, вариант с RDP ничем не лучше варианта заведения учёток в AD для каждого недоменного пользователя Консультанта, а даже хуже, исходя из затрат денег и времени.