Nézzük először, hogy miért van jelentősége az időbeni korlátozásnak. Tegyük fel, hogy az egyik felhasználó neve és jelszava, tudta nélkül illetéktelen kezekbe kerül. Beállítjuk, hogy a cég alkalmazottai csak munkaidőben, például reggel 8 órától délután 16 óráig érhetik el a kiszolgálót. Ha munkaidőn kívül próbálkozik meg valaki - akár Interneten keresztül távolról vagy modemes betárcsázással - bejelentkezni, nem jár sikerrel. Eleve ki van zárva annak a lehetősége, hogy bármilyen megosztott erőforrást el lehessen érni, hiába van birtokában valakinek érvényes név és jelszó. Persze ez még nem zárja ki annak a lehetőségét, hogy valaki munkaidőben kövessen el visszaélést. Itt jön azonban be a második lehetőség: a bejelentkezési hely korlátozása. Szintén az Active Directory beépített lehetőségéről van szó. Minden felhasználó esetében konkrétan előírható, hogy melyik gépről, vagy gépekről jelentkezhet be a kiszolgálóra. Ha másikról próbálkozik, a rendszer elutasítja. A két védelmi megoldás együttes alkalmazása már jelentősen növeli a hálózat biztonságát. Példánknál maradva, az illetéktelen személynek nem csak munkaidőben, hanem meghatározott gépeken kell elvégeznie a bejelentkezést. Minél kevesebb gépről engedélyezzük ezt, annál jobb. Ha csak reggel nyolctól délután négy óráig és csak egy adott gépről érhető el a kiszolgáló, akkor nagyon megnehezül a helyzete - és ez a rendszergazdának kedvez.
Nézzük meg, hogy lehet a gyakorlatban elvégezni a szükséges beállításokat:
Jelentkezzünk be rendszergazdai jogokkal az Active Directory tartományvezérlőre. Indítsuk el a Felügyeleti eszközök > Active Directory - felhasználók és számítógépek (Administrative Tools > Active Directory Users and Computers) konzolt. Keressük meg az adott felhasználót és kattintsunk a nevére kétszer, vagy egyszer a jobb oldali egérgombbal és utána a "Tulajdonságok" ("Properties") menüre. A megjelenő ablakban lépjünk a "Fiók" ("Account") oldalra. Található itt két nyomógomb. Kattintsunk a "Nyitvatartási idő" ("Logon Hours") feliratúra.
Táblázatos formában kék színnel jelenik meg az az időintervallum, amikor engedélyezett a felhasználó belépése. Alapértelmezésben a hét minden napján bármelyik órában. Függőlegesen az órák, vízszintesen pedig a napok találhatók. Az egér segítségével jelöljünk ki egy szakaszt, látható, hogy órás pontossággal lehet beállítani az időszakot. Ha a jobb oldalon található rádiógombokra kattintunk, a kijelölésen belüli terület a gombnak megfelelően átszíneződik. Ne feledjük, hogy kék színnel azok az órák vannak jelölve, amikor bejelentkezhet a felhasználó, fehérrel pedig azok, amikor nem. Kis gyakorlattal könnyen fel fogjuk tudni használni ezt a fajta idő beállítási módszert. Ha a "Minden" ("All") gombra kattintunk az egész hét és minden óra kijelölésre kerül, ha az oszlop vagy sor fejlécekre, akkor pedig a teljes sor vagy oszlop. Nem kötelező periodikusan ismétlődő beállításokat használni. Lehetséges az is, hogy például hétfőn 6-8-ig és szerdán 16-19-ig engedélyezzük a belépést a többi időpontban nem. Bármilyen kombinációt alkalmazhatunk.
Ha végeztünk, lépjünk ki az ablakból és kattintsunk a "Bejelentkezési hely" ("Log On To") gombra. Itt állítható, hogy mely gépekről fogadja el a szerver a bejelentkezést. Alapértelmezésben mindegyikről. Ennek korlátozásához kattintsunk "A következő számítógépekre" ("The following computers") rádiógombra. A "Számítógépnév" ("Computer name") mezőbe írjuk be annak a gépnek a NetBIOS nevét, amelyről engedélyezzük a bejelentkezést. Ezután kattintsunk a "Hozzáadás" ("Add") gombra. A lépéseket megismételve (ha szükséges) kialakul a jogosult gépek listája. Egy gép eltávolításához kattintsunk a nevére, majd az "Eltávolítás" ("Remove") gombra. Ha elgépeltünk egy nevet nem kell eltávolítani és újra felvenni a listába, elég ha rákattintunk és utána a "Szerkesztés" ("Edit") gombra, ezzel átírhatóvá válik a név. Az előbbiekkel kapcsolatban felmerülhet egy kérdés: Honnan tudjuk meg egy gép NetBIOS nevét? Nos ez a Windows 2000-ben megegyezik a gépnévvel. Parancssorban írjuk be: HOSTNAME vagy keressük meg a Vezérlőpult > Hálózati és telefonos kapcsolatok > Speciális > Hálózati azonosítás (Control Panel > Network and Dial-Up Connections > Advanced > Network Identification) menüpontot. Itt "A számítógép teljes neve" ("Full computer name") felirat mellett megtalálható a keresett név.
Mi történik akkor, ha valaki az engedélyezett időszakán kívül kísérli meg a bejelentkezést? A következő hibaüzenetet kapja: "A fiók le van tiltva. Lépjen kapcsolatba a rendszergazdával" ("Your account has been disabled. Please see your system administrator."). És ha nem megfelelő gépről próbálkozik? Akkor pedig ezt fogja látni: "Nem léphet be a fiók korlátozásai miatt" ("Unable to log you on because of an account restriction").