La Division des services d'ingénierie informatique (DECS) fournit des services de technologie de l'information et un soutien aux professeurs, employés, étudiants et invités du College of Engineering de la Michigan State University (MSU), l'une des meilleures universités de recherche au monde.
Faisant partie du MSU College Engineering, ils sont responsables de la gestion et du soutien de toutes les technologies dans les salles de classe, les laboratoires informatiques, les résidences universitaires et les bureaux sur et hors campus.
La problématique
Définir et appliquer une seule session pour chaque compte d'utilisateur Active Directory
Pour les différents départements d'ingénierie, les DECS maintiennent et supportent plusieurs laboratoires d'informatique et classes d'enseignement.
Étant donné qu’Active Directory natif autorise plusieurs ouvertures de session à partir du même utilisateur, un problème fréquent existait lorsque les étudiants pouvaient se connecter à plusieurs stations de travail en même temps. Ils faisaient cela pour réserver des places pour des amis qui n'étaient pas encore arrivés en classe.
Lorsque plusieurs ordinateurs pouvaient être bloqués par un utilisateur, cela empêchait le partage approprié des ressources de l'école - et provoquait de nombreuses plaintes de la part des étudiants et du personnel enseignant.
Les connexions simultanées incontrôlées posaient également des problèmes de sécurité évidents. Cela élargit la surface d'attaque d'un réseau étant donné que les informations d'identification valides, mais compromises, peuvent être utilisées en même temps que leur propriétaire légitime. Il crée également un problème de responsabilité et de non-répudiation lorsque l'utilisateur A, connecté au réseau avec les informations d'identification de l'utilisateur B, peut accéder aux données et aux applications de l'utilisateur B, envoyer des courriels à son nom, etc.
La limitation des sessions simultanées n'est pas prise en charge de manière native dans Active Directory. Une solution tierce était donc nécessaire pour renforcer cette restriction et permettre aux administrateurs - et aux utilisateurs eux-mêmes - de se déconnecter à distance des sessions existantes.
La solution
Une solution simple, stable et non perturbatrice qui fonctionne aux côtés d’Active Directory
Chargé de résoudre ce problème, Matt Hale, administrateur informatique chez MSU est tombé sur UserLock suite à une recherche sur Internet.
L'installation du logiciel s'est avérée rapide et très simple. La documentation en ligne était claire et a aidé à soutenir leur propre choix pour installer le micro agent UserLock en utilisant les stratégies de groupe.
Une fois déployé, UserLock leur a permis d'empêcher facilement les connexions simultanées d'un utilisateur.
En empêchant les étudiants d'utiliser plusieurs postes de travail, UserLock permet de libérer des ressources pour tous les étudiants. Ils ont également la possibilité de se déconnecter à distance des sessions existantes à partir d'une nouvelle tentative de connexion.
En surveillant tous les événements de connexion utilisateur en temps réel, l'équipe informatique peut également surveiller et obtenir des rapports sur les activités de connexion et de déconnexion de tous les utilisateurs afin d'étudier de quelle façon les ressources du laboratoire sont utilisées: pics d'activité élevée et faible, taux d'occupation, etc.
Nous utilisons UserLock depuis 2013. C'est un excellent produit. Il est facile à installer et très simple à utiliser, la documentation en ligne est très bien. Nous pouvons compter sur le logiciel et nous n’avons pas besoin de le vérifier tous les jours. Il fait le travail dont nous avons besoin.
Matt Hale
Administrateur informatique
Les avantages
Ressources optimisées et réduction des risques de problèmes de sécurité
Suite au déploiement de UserLock, l'équipe informatique a constaté un nombre réduit de plaintes concernant le manque d'espace libre, ce qui signifie que les ressources ont été mieux optimisées pour les étudiants.
Une visibilité complète et des informations sur tous les événements de connexion ont également permis à l'équipe de mieux gérer les ressources.
De plus, UserLock s'est avéré facile. Il s'intègre facilement à l'infrastructure Active Directory existante. Aucune modification n'est apportée à AD ou à son schéma. Hébergé sur n'importe quel serveur du domaine, UserLock est géré à distance sur les postes de travail ou via une console Web n'importe où sur le réseau.
Si vous avez besoin d'une méthode stable et abordable pour créer des fonctionnalités qu'Active Directory devrait déjà avoir intégré, je recommanderais définitivement UserLock.
Matt Hale
Administrateur informatique