1 Tình huống

Sau khi triển khai đồng bộ user Firewall với Domain Controller, bạn gặp tình trạng không thể đăng nhập bằng tài khoản AD, hoặc tình trạng có Account đăng nhập được nhưng Account khác thì lại không.

Trong tình huống này. Rất có thể hệ thống AD đang sử dụng tính năng giới hạn Logon Workstations cho user đó.

Vào event viewer ta thấy đoạn log sau

2 Cách xử lý

Bạn thêm ip của thiết bị firewall và ip của Domain controller vào mục Logonworkstaion và đăng nhập để kiểm tra lại.

Tuy nhiên khi số lượng user nhiều hơn, có thể sử dụng đoạn script dưới đây.

Import-Module ActiveDirectory

$ouPath = "OU=IT,DC=tri,DC=local"

$users = Get-ADUser -Filter * -SearchBase $ouPath -Properties LogonWorkstations

foreach ($user in $users) {

    $currentWorkstations = $user.LogonWorkstations

    if ([string]::IsNullOrEmpty($currentWorkstations)) {

        $currentWorkstations = ""

    }

    if ($currentWorkstations -notlike "*192.168.1.1*" -and $currentWorkstations -notlike "*192.168.2.1*") {

        $newWorkstations = $currentWorkstations + ",192.168.1.1,192.168.2.1"

        Set-ADUser -Identity $user.SamAccountName -LogonWorkstations $newWorkstations

    }

}

Trong đó:

• $ouPath: đường dẫn OU cần cấu hình.
• 192.168.1.1, 192.168.2.1: là 2 địa chỉ ip hoặc tên máy tính ta muốn add thêm vào logon workstation cho toàn bộ user trong OU.

Lưu ý: bạn nên thử đoạn script trong OU test trước khi chạy với OU thực tế để tránh trường hợp mất các Logon workstation cũ.