通过配置域服务器登录（logon.exe）和注销（logoff.exe）脚本，在用户登录或注销域时通过下发的域策略执行登录或注销脚本，执行脚本的同时完成用户在设备上的登录和注销。如图所示。

数据流的过程大致如下：

1. PC请求登录域。
2. 域返回成功登录信息给PC。
3. PC运行logon.exe并上报 成功登录域的信息给设备。

配置案例：要求对内网172.16.1.0/24网段的用户使用AD域单点登录的认证方式，认证成功后以域账号上线；并且删除将用户和IP进行自动绑定；当单点登录失败时跳转到认证页面通过手动输入AD域账号和密码进行认证。

操作步骤

步骤1.设置认证AD域服务器，点击进入[接入管理/接入认证/PORTAL认证/认证服务器]进行设置（参考LDAP服务器章节）。

步骤2.根据需要使用单点登录的用户IP或MAC设置认证策略，在[接入管理/接入认证/PORTAL认证/认证策略]，点击新增认证策略，勾选启用，填写名称。

步骤3.设置认证范围，填写适用范围：172.16.1.0/24。设置认证方式，认证方式选择单点登录，单点登录失败的用户勾选密码认证，认证服务器选择LDAP。

步骤4.在[接入管理/接入认证/PORTAL认证/单点登录选项/微软AD域] 勾选[启用域单点登录]和[通过域自动下发，执行指定的登录脚本，获取登录信息]，并设置共享密钥。

步骤5.在[共享密钥]中输入共享密钥，共享密钥用于AD域服务器和设备的加密通讯，需要在登录脚本中设置相同的共享密钥。点击<下载域单点登录程序>下载登录注销脚本，下载脚本。

步骤6.在AD域服务器上配置登录脚本程序。

1. 登录域服务器后，使用WIN+R在运行中输入gpmc.msc打开组策略管理，如下图。

2. 策略管理页面如下所示。

3. 在弹出的窗口中，右键选中组策略“Default Domain Policy”，点击<编辑>打开组策略管理编辑器。
4. 在弹出的组策略编辑器中依次点击[用户配置/Windows设置/脚本(登录/注销)]。

5. 双击右边的<登录>选项，在弹出的登录脚本编辑窗口左下脚，点击<显示文件>，会

打开一个目录然后，将登录的脚本保存在该目录下。

6. 关闭该目录。

7. 在弹出的登录脚本编辑窗口中单击添加按钮，在添加脚本窗口中，点击<浏览>，选择保存的登录脚本文件(即logon.exe)，并在脚本参数中输入AC的IP，端口号(IPV4支持1773和1775端口，IPV6支持1775端口)，密钥(必须与AC端设置的密码一致)。每个参数以空格分隔，点击<确定>，依次关闭所有组策略属性页面配置。

步骤7.在LDAP上配置注销脚本程序。设置注销脚本的目的是在用户注销域的时候同时注销在设备上的登录账号。

1. 在组策略管理编辑器的[用户配置/windows设置/脚本（登录、注销）]，操作配置可参考登录脚本程序的步骤，双击<注销>选项。

2. 在弹出的注销脚本编辑窗口左下脚点击<显示文件>，将打开一个目录然后将注销脚本(即logff.exe)文件保存在该目录下，关闭该目录。

3. 在弹出的注销脚本编辑窗口中单击添加按钮，在添加脚本窗口中，点击<浏览>，选择保存的AD注销脚本文件 (即logff.exe)，并在脚本参数中输入在配置注销脚本参数时输入的AC的IP，依次关闭所有的组策略属性页面配置。

4. 配置完脚本后，依次点击桌面左下角的<开始>，点击<运行>，在弹出的运行窗口中输入：“gpupdate”并点击<确定>，生效配置完的组策略。

步骤8.用PC登录域，登录域成功后即可在AC上以单点登录方式上线并上网。

：