如何在 Windows Server 2003 的域中限制用户登录时间

使用net user 命令编辑用户帐户属性。方法1：使用“Active Directory 用户和计算机”管理单元启动“Active Directory 用户和计算机”管理单元，方法是：单击“开始”，指向“管理工具”，然后单击“Active Directory 用户和计算机”。在控制台树中，单击包含所需用户帐户的容器。在右窗格中，右键单击相应的用户帐户，然后单击“属性”。单击“帐户”选项卡，然后单击“登录时间”。单击“全部”以选中所有可用时间，然后单击“拒绝登录”。选择允许该用户登录到域的时间段，然后单击“允许登录”。
登录时间表下方的状态行会显示当前选择的登录时间。例如，“星期一到星期五上午 8 点至下午 5 点”。配置完登录时间后，单击“确定”，然后单击“user account 属性”对话框中的“确定”。 退出“Active Directory 用户和计算机”管理单元。 方法2：使用 Net User 命令行语句单击“开始”，然后单击“运行”。在“打开”框中，键入 cmd，然后单击“确定”。键入net user username /time:logon_times（其中 username 是用户帐户的名称，logon_times 是允许用户访问域的日期和时间），然后按 Enter。
以下信息对您使用 /time 开关会有帮助： 日期可以拼写出来（如 Monday），也可以缩写（如 M、T、W、Th、F、Sa、Su）。可以使用 12 小时（1PM 或 1PM）或 24 小时 (13:00) 时间制。空值表示用户永远不能登录。 值为“全部”表示用户随时都可以登录。使用连字符 (-) 可标记日期或时间范围。例如，要创建从星期一到星期五的范围，可键入 M-F，或 monday-friday。要创建从上午 8:00 到下午 5:00 的时间范围，可键入 8:00am-5:00pm、8am-5pm，或 8:00-17:00。 将日期和时间项用逗号隔开（如 monday,8am-5pm）。将日期和时间单元用分号隔开（如 monday,8am-5pm;tuesday,8am-4pm;wednesday,8am-3pm）。不要在日期或时间之间使用空格。示例 以下示例显示了如何更改特定用户帐户的登录时间。 要使用 24 小时制设置 John 的登录时间（从上午 8:00 到下午 5:00），请键入以下命令，然后按 Enter：
net user john /time:M-F,8am-5pm要将Mary 的登录时间指定为星期一早上 4:00 到下午 5:00，星期二下午 1:00 到下午 3:00，星期三到星期五的上午 8:00 至下午 5:00，请键入以下命令，然后按 Enter：
步骤1：创建用户帐户列表启动“Active Directory 用户和计算机”管理单元。方法是，单击“开始”，指向“程序”，指向“管理工具”，然后单击“Active Directory 用户和计算机”。在控制台树中，单击相应的组织单位，或单击包含所需用户帐户的“Users”文件夹。 在“ *** 作”菜单上，单击“导出列表”。在“另存为”对话框中，在“文件名”框中键入所需的文件名。在“保存类型”列表中，单击“文本文件(逗号分隔)(csv)”，然后单击“保存”。使用文本编辑器（如记事本）编辑该 csv 文件，从中删除不希望应用登录限制的项目。用户帐户列在一个标题下，每行一个帐户。此外，您可能还需要编辑此文件中的用户名，以使其与您在命令提示符处键入 Net User 时显示的用户帐户名相符。
以下是这个文件的一个示例：
Name, Type, Description, Joe,User,, Sally,User,Account created for Sally, Betty,User,, Bob,, 步骤2：使用 Net User 命令编辑登录时间 使用net user 命令对在“步骤1：创建用户帐户列表”中创建的 csv 文件中的帐户应用登录限制。 单击“开始”，然后单击“运行”。在“打开”框中，键入 cmd，然后单击“确定”。键入以下命令，其中 file_name 是包含已导出用户帐户的 csv 文件的名称，logon_times 是允许用户访问域的日期和时间：
for/F "skip=1 tokens=1 delims=," %i in (file_namecsv) do net user %i /time:logon_times 此命令只有一行。将其换行是为了便于阅读。
注意：以下命令只有一行。将其换行是为了便于阅读。 要允许用户从星期一到星期五的上午 8:00 至下午 5:00 登录服务器，请键入以下命令，然后按 Enter：
for/F "skip=1 tokens=1 delims=," %i in (exportuserscsv) do net user %i /time:monday-friday,8am-5pm要允许用户在星期一和星期五上午 8:00 至下午 1:00，星期二到星期四的上午 8:00 至下午 5:00 登录服务器，请键入以下命令，然后按 Enter：
for/F "skip=1 tokens=1 delims=," %i in (exportuserscsv) do net user %i /time:m,8:00AM-1:00PM;t-th,8:00AM-5:00PM;f,8:00AM-1:00PM 可以在批处理文件中使用此命令。但是，必须对每个变量另外加一个百分号 (%)。以下示例代码对此进行了说明：
for/F "skip=1 tokens=1 delims=," %%i in (exportuserscsv) do net user %%i /time:m,8:00AM-1:00PM;t-th,8:00AM-5:00PM;f,8:00AM-1:00PM 注意：在此示例中，该命令只有一行。将其换行是为了便于阅读。
使用组策略实施登录时间限制 可以使用组策略来实施所应用的登录时间限制。
步骤1：创建组策略对象 创建用于实施客户端登录限制的组策略对象 (GPO)： 启动“Active Directory 用户和计算机”管理单元。方法是，单击“开始”，指向“程序”，指向“管理工具”，然后单击“Active Directory 用户和计算机”。在控制台树中，右键单击包含所需域控制器的域或组织单位，然后单击“属性”。单击“组策略”选项卡，然后单击“新建”。为此策略键入一个名称（如帐户登录限制），然后按 Enter。 单击“属性”，然后单击“安全”选项卡。对于您不希望应用该策略的安全组，请单击以清除与其对应的“应用组策略”复选框。对于希望应用该策略的组，请单击以选中“应用组策略”复选框。完成后，单击“确定”。步骤2：实施登录时间限制启动“Active Directory 用户和计算机”管理单元。方法是，单击“开始”，指向“程序”，指向“管理工具”，然后单击“Active Directory 用户和计算机”。在控制台树中，右键单击包含要编辑的域控制器 GPO 的域或组织单位，然后单击“属性”。单击“组策略”选项卡，选择所需的 GPO，然后单击“编辑”。在“计算机配置”下，依次展开“Windows 设置”、“安全设置”、“本地策略”，然后单击“安全选项”。在“组策略”管理单元的右窗格中，双击“Microsoft 网络服务器:当登录时间用完时自动注销用户”。单击以选中“定义这个策略设置”复选框，单击“已启用”，然后单击“确定”。关闭“组策略”管理单元，然后单击“确定”。疑难解答 组策略更改没有立即生效。组策略后台处理可能要花 5 分钟才能在域控制器上刷新，而在客户端计算机上进行刷新所用的时间可能长达 120 分钟。要强制对组策略设置进行后台处理，请使用 gpupdate 命令。
注意：secedit /refreshpolicy 已替换为 gpupdate。有关 gpupdate 命令的更多信息，请参见 Windows Server 2003 帮助。为此，请按照下列步骤 *** 作： 单击“开始”，然后单击“运行”。在“打开”框中，键入 cmd，然后单击“确定”。键入gpupdate，然后按 Enter。回到顶端 | 提供反馈

域内时间服务器的时间同步，是遵循这样一个规则： client->child domain PDCe->parent domain PDCe->root PDCe->Internal Time Source->Internet Time Source
层层向上，自动同步，这就是为什么您即便修改了域内工作站的时间，重新启动又会恢复域内时间。
所以，一个标准的、稳定的时间源对于整个AD架构是非常重要的。需要提到的一点是，时间服务使用 udp 123--- gnaw0725
据我所知，net time命令只能使计算机的时钟与其他计算机或域的时钟同步。
我们建议您将权威时间服务器配置为从硬件源收集时间。当您将权威时间服务器配置为与 Internet 时间源同步时，不会有任何身份验证。我们还建议您降低服务器和独立客户端的时间校准设置。这可以为您的域提供更准确的时间和更高的安全性。
Windows 包含 W32Time，它是 Kerberos 身份验证协议所需的时间服务工具。Windows 时间服务的目的是确保组织中运行 Microsoft Windows 2000 或更高版本的所有计算机都使用同一个时间。
配置 Windows 时间服务以使用外部时间源的具体步骤，请参考以下文章：
如何在 Windows Server 2003 中配置权威时间服务器
>一 域环境，默认情况下，所有计算机都会和域控制器同步时间的，无需特别设置。
二 工作组环境
1）如果所有机器都可以访问internet,可以直接使用timewindowscom（默认的配置）
2）如果机器不能访问internet,或者有防火墙导致无法同步，可以在2003服务器上创建时间服务器，客户端XP系统设置时间服务器地址为2003服务器。
三 客户端设置
双击托盘区显示时间的地方，出现对话框之后选择Internet时间设置时间服务器的地址。默认为timewindowscom，设置为2003服务器地址，然后单击“立即更新”按钮实现“时间同步”。
四 服务器端设置
1 单击“开始”，单击“运行”，键入 regedit，然后单击“确定”。
2 找到并单击下面的注册表子项：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
3 在右窗格中，右键单击“AnnounceFlags”，然后单击“修改”。
4 在“编辑 DWORD 值”的“数值数据”框中键入 A，然后单击“确定”。
5 退出注册表编辑器。
6 在命令提示符处，键入以下命令以重新启动 Windows 时间服务，然后按 Enter：
net stop w32time && net start w32time
参见>我们都知道域策略在域控上的默认刷新时间是5分钟，那么客户端PC一般需要重启或者用命令来立即获取域策略。其实我们可以通过修改域策略来直接实现的。
首先，打开服务器管理器--工具--组策略管理
右击编辑 “default domain policy"策略（或者新建GPO），
找到 计算机配置------策略------管理模板：从本地计算机中检索的策略定义（ADMX文件）--------系统----------组策略---------找到
1配置计算机的组策略的刷新间隔---
Windows server 2012应用--域环境下的组策略刷新时间设置
2设置域控制器的组策略刷新间隔---未配置的情况下域控制器的默认刷新时间是5分钟，不建议改动。如果选择关闭，则客户端没有重启的话，无法自动获取域策略。

---