Добрый день,
Прошу помочь с идеей, как можно реализовать следующий сценарий входа доменного пользователя в систему. domain controller server 2008
разрешить логиниться пользователю доменной учеткой до 9 утра
Если пользователь логинится после 9 утра, то либо машина попадает в группу disabled, либо режутся права на доступ к сетевым дискам. Или альтернативный - простой вариант временного наказания за опоздание.
Заранее спасибо.

mgtushnik, какая-то бредовая идея.

какая-то бредовая идея. »
Велика вероятность, что ТСу ее спустили сверху.

Велика вероятность, что ТСу ее спустили сверху. »
Я и не говорил, что эта идея принадлежит самому автору. В любом случае, идея «если опоздал — то и не работаешь» выглядит бредово.

«если опоздал — то и не работаешь» »
Скорее всего цепочка выгляди так: Опоздал - не пускает в систему - к админу - потом к руководству - люлей/штраф/прочее - админ - работаешь.

Всё равно бредово выглядит. Журнал, магнитная карта, да хоть табель-карточку пробивать на входе.

Журнал, магнитная карта, да хоть табель-карточку пробивать на входе. »
Требует финансовых затрат, отсюдова вывод - "Зачем? Ведь есть админ, который все сделает на существующем оборудовании без вливания каких-либо финансов."

Всё равно бредово выглядит »
Согласен. Но это еще довольно безобидный бред;)

разрешить логиниться пользователю доменной учеткой до 9 утра
Если пользователь логинится после 9 утра, то либо машина попадает в группу disabled, либо режутся права на доступ к сетевым дискам. »
Повесить обработчик на событие "вход в систему", прописать запуск сценария CMD или другой командной среды.
В скрипте прописать проверку времени. Если больше "часа X", тогда выполнить запуск требуемых команд, начиная от отправки электронной почты непосредственному руководителю данного пользователя.

Также нужно предусмотреть вероятность перезагрузки компьютера.
Как минимум добавить проверку того, что ранее данный человек уже включал компьютер. Например создавать файл с датой, а потом проверять наличие данного файла. Если есть - значит компьютер просто перезагрузили.


P.S.
Что касается "группы disabled".
Вроде бы как формирование списка групп, в которые входит конкретный пользователь, выполняется однократно - в момент логина. Как следствие, любой эффект от изменения состава групп проявится только при следующем логине.

Также нужно предусмотреть вероятность перезагрузки компьютера. »
…и спячки :).

Также нужно предусмотреть вероятность перезагрузки компьютера. »

…и спячки »

Правильное замечание. Будут случаи, когда опаздывающему сотруднику включает компьютер неопоздавший сосед по работе.
Гораздо лучше система, которую я внедрил на работе(по просьбе директора):

Каждый сотрудник в пропуске имеет индивидуальный штрихкод. Пропуск он должен брать с собой домой, чтобы показывать вахтеру при входе и выходе. Когда он приходит на работу или уходит с нее, он должен поднести пропуск с сканеру, соединенному с компом, ведущим учет рабочего времени. Так учитывается и сколько сотрудник отлучается с рабместа на обед или еще куда-то. Ведь не обязательно он должен работать за компом все рабочее время.

Будут случаи, когда опаздывающему сотруднику включает компьютер неопоздавший сосед по работе. »
И это, само-собой, тоже.

Правильное замечание. Будут случаи, когда опаздывающему сотруднику включает компьютер неопоздавший сосед по работе. »
И наоборот, когда сотрудник до включения компьютера идёт к начальству с докладом или ещё какой служебной необходимостью

Спасибо за возможное решение, согласен, что идея не очень вразумительная, спустилась от руководства.
На самом деле установлен СКУД, с табелем по времени входа в офис, но видимо это время не коррелируется с началом рабочего дня.
Можно уточнить про обработчик "Вход в систему"?
как это реализуется? Через файлик logon скрипта?
Заранее спасибо.

Через файлик logon скрипта? »
Ага.

можно попросить какие-нибудь наброски скрипта, хотябы позадачно
1) условие сравнения с текущим временем
2) проверка, логинился ли пользователь ранее этим днем
3) добавление пользователя в группу

Как уже сказали, группы пользователь получается до момента срабатывания логон скрипта, поэтому возможно сделать чтобы по выполнению условий (логинится после 9:00), пользователь скриптом добавлся в определенную группу(disabled) и после этого принудительно логофился?!

Как-то много условий и в голове они не очень ложатся.
Заранее спасибо.

Как-то много условий и в голове они не очень ложатся. »
Да потому что стоит донести руководству, или кто там эту муть придумал, что это система из костылей, которую реализовать проблематично а "сломать систему" - раз плюнуть.
Почему не рассматривается вариант мониторить в журнале события? Абсолютно так же легко обходится со стороны пользователей, дает ту же информацию, но гораздо проще в реализации.

Мониторинг журнала события дает информацию о временил логина пользователя, но что можно с этого получить и что реализовать? Подскажи что можно сделать?

но что можно с этого получить и что реализовать? Подскажи что можно сделать? »
Получить список "человек - время прихода", записать на бумажку и отнести боссу? Не в этом ли задача?
Можно конечно написать парсер чтобы процесс "написать на бумажку" проходил автоматически, но результат тот же.

На самом деле установлен СКУД, с табелем по времени входа в офис, но видимо это время не коррелируется с началом рабочего дня. »

Лучшее решение: выяснить что там не коррелируется и исправить, чем городить logon-скрипты, которые все равно задачу нормально не выполнят.

По мнению руководства, рабочий день начинается, когда пользователь залогинился, а не та отметка, которая свидетельствует о входе в помещения в офис, ибо сначала кофе-чай-завтрак и т.п.