LimitLogin是微软专门为Windows Server 2003量身定做的一个登录管理工具，其功能十分强大，包括限制域中的用户登录数、分类显示域中任何用户的登录信息、集成至AMD(Active Directory MMC)进行管理配置、生成CSV和XML格式的登录信息，这些功能对普通用户来说意义并不大，但对商业用户，例如银行、图书馆、ISP等行业有着广泛的需求。

　　下载与安装

　　目前，微软尚未提供官方站点，如果你感兴趣的话，可以从http://download.microsoft.com/download/f/d/0/fd05def7-68a1-4f71-8546-25c359cc0842/limitlogin.exe下载，目前最新版本是1.0。该软件的基本配置要求为windows xp+.NET Framework 1.1或Windows Server 2003，微软给出的建议是Windows 2003 Domain Controller，并且在域中至少有一台windows 2003 Domain Controller 。

　　LimitLogin的安装过程十分复杂，分为以下几步：

　　1.安装LimitLogin Web Service

　　安装时需要定制Web Service的名称，默认是WSLimitLogin，假如你需要更改，那么请一定牢牢记住，因为将在Active Directory Setup中用到这个名称，同时也可以在这里定制访问Web Service的端口号。

　　2.安装LimitLogin Active Directory

　　LimitLogin Web Service开始运行后，你还需要继续安装LimitLogin的Active Directory Setup，运行下载回来的LimitLoginADSetup.msi，这里有三个复选框，如果你是第一次安装，那么请全部选中。

　　(1)Prepare your Active Directory Forest for LimitLogin。这个选项将执行如下操作：更新配置，加入LimitLogin AD MMC控制菜单;扩展Forest schema，包括LimitLogin类和属性。

　　这里，你需要拥有Schema Administrator的权限，然后会出现一个对话框，单击“OK”按钮进行确认，系统将在/%windir%/system32/和/program files/Limitlogin/目录之下建立详细的日志，这一步完成之后，就可以开始配置域到LimitLogin了。

　　(2)Pepare your Active Directory Domain for LimitLogin。这个选项将执行如下操作：建立并配置llogin.vbs、llogoff.vbs、limitlogin.wsdl等文件;为LimitLogin建立一个应用目录区域。

　　在图3所示的“Domain Setup”窗口中，我们需要提供下面三个参数：Scripts Share Folder名称，共享区域保存脚本和wsdl文件，所有的认证用户将在Limitlogin下运行，必须能访问该共享区域;IIS Server名称，运行有LimitLogin Web Service的IIS机器名;LimitLogin Web Service的名称，这下你知道前面需要牢牢记住的原因了吧!

　　至于窗口底部的这个复选框，原本是为系统的安装而配置，建议选中为好。接下来，我们需要建立LimitLogin应用目录区域，此时会弹出一个对话框，你可以在下拉列表框中选择需要建立LimitLogin应用目录区域的Domain Controller，在成功完成该步骤后，会显示安装Domain setup的最后的提示。

　　(3)Install LimitLogin AD MMC add-in tools on this machine。这个选项最后才会运行，主要是复制一些文件到/%windir%目录，这里你只能从Active Directory MMC运行LimitLogin的机器。以后，如果你希望运行LimitLogin AD MMC附加工具，只需简单的在一个用户，机器或是OU/Container右键选择“LimitLogin Tasks”就可以了。

　　需要说明的是，你可以运行LimitLoginADSetup.msi选择在你想要使用AD MMC集成功能的计算机上进行安装，或者也可以在“/program files/limitlogin/LimitLoginADSetup.exe”依次用“/ForestPrep”和“/DomainPrep”进行设置。

　　手动配置和脚本

　　首先，你需要将“/Program Files/LimitLogin/Scripts”文件夹复制至“Domain Setup”那一步指定的共享文件夹中，例如ServernameShare。

　　1. 配置Login和Logoff脚本的步骤

　　(1)开启Active Directory用户和计算机。

　　(2)右击域对象打开属性窗口，切换到组策略标签页，然后修改默认的Domain策略。

　　(3)依次选择“User Configuration→Windows Settings→Scripts”，在Logon脚本中，从脚本共享路径加入llogin.vbs;在Logoff脚本中，从脚本共享路径加入llogoff.vbs。

　　2.配置“Trust for Delegation”

　　(1)开启Active Directory用户和计算机。

　　(2)在“Domain→Computers”右键单击IIS服务器对象，打开属性窗口后切换到Delegation标签页。

　　(3)选择“Trust this computer for delegation to specified services only”和“Use Kerberos only”。

　　(4)单击“Add”按钮，选择DC(Domin Controller)计算机的名称，列表得出可用服务，我们需要在域上为计算机选择LDAP服务。

　　或者，你也可以通过选择“Trust this computer for delegation to any service”选项，以信任所有的服务。

　　设置LimitLogin客户端

　　为了在LimitLogin服务下工作，我们需要在每一个域成员机器上运行LimitLoginClientSetup.msi来安装客户端。客户端的安装包括：

　　(1)SOAP Runtime(需要连接Web Service)。

　　(2)WTSApiAx.dll(发送到Web Service前需要收集Session ID)。

　　(3)LLoginSessions.exe(可选项，当超出限额时，用来显示之前登录的用户列表)。

　　配置LimitLogin Client安装包有很多方法，例如使用SMS、login scripts、Group Policies等，比较简单的办法是在Silent模式下运行客户端安装，此时可以在命令行下运行如下代码LimitLoginClientSetup.msi /qn”，或者你可以参考http://msdn.microsoft.com/library/default.asp?url=/library/en-us/msi/setup/command_line_options.asp页面的介绍，这里就不多说了。

　　诊断与维护

　　LimitLogin有一个很重要的命令行程序：LLogincmd.exe，这个文件在本地的“/program files/LimitLogin”目录下可以找到，包括如下参数：

　　/Diag or /d：显示状态信息。

　　/Report or /r：为域生成登录信息CSV文件报告 。

　　/Update or /u：收集、检验、比较域上的用户信息，确保始终处于最新状态。

　　/ClearLogins or /c：从数据库清除所有登录信息。