Windows 2008R2 ограничить работу RDP пользователей рабочим временем?

Question

[Magicus]

Есть Windows 2008R2 на который заходят пользователи по RDP.
Нужно чтоб каждый пользователь мог заходить туда только в рабочее время напримен с понедельника по пятницу с 9:00-18:00

Comments

[Евгений Хлебников]

а в остальное время терминальник чем должен заниматься?

[Андрей Ермаченок]

Случаются сверхурочные, авралы, перенос выходных около праздников, мало ли что...
И каждый раз Админ должен будет разграничивать/ограничевать? Оно вам надо??? Чтоб в субботу сутра главбуха звонила и говорила, что на пришла, а оно нихрена не работает? А ну быстро сюда!!!

[Евгений Хлебников]

Отвечая, я и не думал о таких обстоятельствах, но в свете вышесказанного - я так понимаю, мой ответ идеален ^-^

Answer 1

[Vadim K]

У меня для таких целей для терминальных серверов, которые не в домене, есть два скриптика. Первый - отключает пользовательские сессии и делает учетную запись пользователя неактивной (пользователь не может залогинится), второй - делает учетные записи активными (пользователь может залогинится). Список пользователей в отдельном файле, скрипты выполняются через назначенные задания.
Скрипт №1 (usrs_lock.cmd)

@echo off

for /F "eol=#" %%N in (C:\scripts\users_lock\userslist.txt) do (
	net user %%N /active:no
	
	query user %%N >"C:\scripts\users_lock\session.txt"
	for /F "skip=1 tokens=3," %%i in (C:\scripts\users_lock\session.txt) do logoff %%i
	del session.txt
)

Скрипт №2 (usrs_unlock.cmd)

@echo off

for /F "eol=#" %%N in (C:\scripts\users_lock\userslist.txt) do (
	net user %%N /active:yes
)

Answer 2

[t_q_l]

1) Используйте домен Active Directory, в нём настраивайте учётные записи по образцу:

2) В 18:00 выгоняйте всех пользователей с терминала скриптом с использованием logoff
3) Вход на рабочие станции будет подчиняться тем же правилам, только оттуда можно не выгонять в 18:00

Comments

[Magicus]

К сожалению это только если сервер в домене!

Answer 3

[Spetros]

Вообще, задача ограничения времени входа является классической и описана во всех руководствах и учебниках по Windows Server.
Но если сисадмину нужна ссылка, то вот держи.

Answer 4

[Евгений Хлебников]

Первый вариант:
Ограничить в файрволе доступ только на вашу локальную сеть.
Пришли на работу - работают в терминале.
Пришли в нерабочее время - охранник не пустил.
Второй вариант :
Используем для всех пользователей логон-скрипт, запускающий нужную программу, перед этим проверяя время на сервере :
с 8:45 до 18:15 заходить можно - запускаем нужную программу.
В другое время - нельзя, делаем логофф.
Третий вариант уже описали ниже. Влияет на вход в нерабочее время и на ПК пользователей.
четвертый вариант :
По расписанию изменяем разрешения на доступ к подключению для группы терминальных пользователей, насильно выкидывая их в 18:15. Или меняем членство пользователей в группе.
пятый вариант :
Включение или отключение возможности удаленного подключения на сервер по расписанию

Comments

[Андрей Ермаченок]

но в свете вышесказанного - я так понимаю, мой ответ идеален ^-^

Так молодому админу дали команду - он под козырек, и выполнять.
А старый или отмажется, или время протянет - глядишь, и делать ничего не надо.

[АртемЪ]

Не факт, может ему надо какие регламентные задания гонять, чтобы юзеры под ногами не мешались.

[Евгений Хлебников]

АртемЪ: В том то и дело, что если у админа есть один-единственный сервер - это плохо. Можно ж регламентные и долгоиграющие задачи на другой машине гонять. Даже удаленно на том же терминальнике запускать через powershell remoting. Зачем поставлена задача такая - неизвестно. Единственное работающее решение, позволяющее разрешать все форсмажоры, упомянутые Андрей Ермаченок без участия админа - это переложить проблему "доступа к.." на службу режима. Нет физического доступа на территорию - нет и работы в нерабочее время.
Отключение в 18:15 всех сеансов каждый день реализовать несложно.

[АртемЪ]

yellowmew: Почему это плохо? Сервер это же не игрушка для админа. Сколько нужно организации столько и есть. И не факт что есть "служба режима" Если в компании скажем пять человек работают?

[Евгений Хлебников]

АртемЪ: у админа должна быть тестовая площадка. Обкатывать любое внедрение на боевом сервере чревато.
Зачем в компании из 5 человек терминальный сервер?

[АртемЪ]

yellowmew: Например удаленщикам работать. И при чем обкатка и внедрение? Я говорил о регламентнтных задачах.

Answer 5

[Василий Печерский]

В Active Directory users And compters, в свойствах каждого пользователя есть Login Time.
Всех релевантных пользователей в свой OU, сделать Групповую политику, ограничивающую Login Time -> ваш запрос решен.

Answer 6

[athacker]

Помните только, что бухи, которые судорожно обсчитывают какой-нибудь годовой отчёт в последний момент, могут устроить вам незабываемую ночь (или выходные, как повезёт), когда у них в разгар работы отвалится доступ :-)

Comments

[Magicus]

Есть политика партии а бухи должны заранее планировать свою работу!