#原创分享#域用户策略异常

原创分享计划8正在进行，发技术文章，得现金奖励！点击查看5月榜单

背景：客户版本AC12.0.12，打上支持同步域用户到本地的补丁包（该功能11.0开始不支持，只支持将域用户读取到组织架构）

客户补丁需求：域用户同步本地后，将用户移动到指定组上，匹配用户组策略。

现象：客户反馈，打上补丁包后，用户登陆之后，一开始是域用户上线，后续变成不需要认证上线，由于两者权限不一致，导致用户使用中，总是需要去手动域用户认证一次。

排查思路：

由于客户较为着急，建议客户开启直通，保证业务正常运行.并且确认，开启直通后，设备运行正常。直通日志显示策略导致访问被拒绝。

1.首页-在线用户

  确认目前用户确实以不需要认证认证方式上线指定组。

2.用户与管理-认证策略

  确认用户先进行单点登陆，单点登陆失败后进行不需要认证，认证到指定组。

3.日志中心-用户登陆注销日志

  查看指定IP日志，发现用户反复注销登陆，其中域用户注销详情为非公用用户注销。

跟社区客服确认意思如下

非公用用户注销：【非公用用户的意思就是一个用户只允许在一个终端上登录，非公用用户注销是说这个用户在同一时间在另一个IP上线了，之前登录的在线用户被注销。】

解决方法：

• 确认到原因后，便在【用户与管理】-【用户管理】-【组/用户】找到同步到本地的域用户点击开，在【编辑用户】-【高级属性】中发现未勾选【允许多人同时使用该账号登录】
• 跟客户确认，客户表示异常用户在公司内有两部电脑，都会匹配到单点登陆的认证策略，即用户登陆时，会挤下另一个已单点登陆成功的电脑。
• 后续在自动同步中，勾选【同步到本地的用户默认允许多人同时使用该账户登陆】，并进行验证，客户表示无异常

  
  

  
  

  
  

  
  

  
  
  
  

疑问：

1.查看用户登陆注销日志时，检查指定域用户时，只出现一个IP的登陆注销日志，无出现其他IP。不过提示也是非公用用户注销

楼主的分享很不错哦，楼主处理问题逻辑思维是非常不错的，先是在在线用户管理里面看用户的认证上线方式，再去检查认证策略的配置，最后根据日志中心的提示找到问题的所在并且解决。期待楼主后续带来更有价值的分享:爱你:

感谢楼主分享，又一例典型的通过日志中心的日志分析解决问题的实例，逻辑清晰，易懂，期待更多分享

感谢分享，写的很好很清晰印象深刻，下次遇到该问题应该能想到该帖子，多谢大神分享。

打赏学习，条理清晰，干货满满

学习了，谢谢分享!

哇哦，好腻害，好喜欢

感谢分享，大神还是厉害，关注了

您好，您的文章已被收录到计划中，交由专家评审小组评审，文章标签在专家评审后设置，S奖励预计在一周后到账，其他奖励在活动结束后统一安排发放！发文越多，奖励越多，期待您更多的精彩文章哦！:感恩:
点击查看本季原创文章奖励榜单：http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=103115

感谢分享

感谢分享

感谢分享，还真没注意这个问题