- PR -

ログオン制限について

«前のページへ 1|2
投稿者投稿内容
プラネッツ
常連さん
会議室デビュー日: 2006/10/06
投稿数: 26
投稿日時: 2007-12-10 16:16
このようなやり方は問題ありますでしょうか?
というか、このやり方が通常系のような気がします・・・

ドメインセキュリティポリシーにて「ローカル ログオン」をAdministrators/Backup Operators/Guest/Power Users設定する。
デフォルトのローカルセキュリティポリシーではこれにUsersが入っているだけなのでこうすればいちいちUsersからINTERACTIVEやAuthenticated Usersを削除しなくても良いような気がします。

如何せん初心者でご迷惑をおかけして申し訳ないです。
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2007-12-10 17:01
何を確認したいのかよく判りません。

引用:
プラネッツさんの書き込み (2007-12-10 16:16) より:

このようなやり方は問題ありますでしょうか?
というか、このやり方が通常系のような気がします・・・

ドメインセキュリティポリシーにて「ローカル ログオン」をAdministrators/Backup Operators/Guest/Power Users設定する。
デフォルトのローカルセキュリティポリシーではこれにUsersが入っているだけなのでこうすればいちいちUsersからINTERACTIVEやAuthenticated Usersを削除しなくても良いような気がします。

如何せん初心者でご迷惑をおかけして申し訳ないです。

このようなやり方とは、利用者がローカルPC上ではAdministratorでAD上では
user等の別の利用権を与える二重方式のことを言ってますか?

そもそもローカルPCのAdministrator権限って何故当該PC利用者に必要だと
判断されるのか理由が判りません。
勝手にソフトウェアインストールされたり、基本設定をおかしく弄られたり
ろくでもない事されるだけじゃないでしょうか?
明確な理由があれば教えて頂けると幸いです。

なお、迷惑には感じておりませんが、初心者を前面に出された物言いには
反感を感じます。
# ここの常連の多くは同じように思っていますので、以降ご注意を。
プラネッツ
常連さん
会議室デビュー日: 2006/10/06
投稿数: 26
投稿日時: 2007-12-10 18:13
初心者だから漠然とした質問でOKだろうとつい・・・以後気をつけます。

ちなみにUsersのINTERACTIVE/Authenticated Usersをはずすとローカルで動作しているIISでエラーが発生し、ページが表示できなくなるようです。
ということでこれは選択することができなくなりました。

ローカルセキュリティポリシーのユーザ権利の割り当てにローカルログオンという設定があり、今度はこれにあるUsersを削除しようと思っています。
グループポリシーで設定すると
http://go.microsoft.com/fwlink/?LinkId=17924
上記の問題等発生する恐れがあるので、ここではローカルセキュリティポリシーのUsersを抜くという作業でいこうと思います。
ローカルセキュリティポリシーの操作なので影響も少ないと思いますが、それでも問題がありそうな場合はご指摘をお願いいたします。

>そもそもローカルPCのAdministrator権限って何故当該PC利用者に必要だと
>判断されるのか理由が判りません。
これは理想と現実のなかで判断しましたが本意ではありません。複雑な事情もあるんです。笑
ちゃっぴ
ぬし
会議室デビュー日: 2004/12/10
投稿数: 873
投稿日時: 2007-12-10 22:35
[quote]ローカルセキュリティポリシーの操作なので影響も少ないと思いますが[/qoute]

影響は逆にでかいんですがね。
Administrator さえ logon できなくすることできますので。

Users を削除しても interactive logon が必要な account をすべて登録してやれば問題ありません。

Interactive logon が必要な account をすべてというところがミソですが、この中には system で使われている account も含みます。

Process explorer を使うとどの user が interactive logon しているかがわかります。
もっとも process level のみで thread に関しては覗くことができませんが。。。

多くは、interactive ではなく、network もしくは service logon しているので、問題ありませんが、IIS で基本認証を利用するときのように interactive logon が必要なものがあります。
_________________
プラネッツ
常連さん
会議室デビュー日: 2006/10/06
投稿数: 26
投稿日時: 2007-12-11 18:59
>Users を削除しても interactive logon が必要な account をすべて登録してやれば>問題ありません。
これが全クライアントに可能かといわれると多分無理ですよね。

色々試行錯誤を繰り返した結果、ログオン先の制限により制御するのが一番良いという結論になりそうです。アカウント用意時にログオン先を「NoComputer」などの存在しないコンピュータ名にしてドメインアカウント作成時のログオン可能なPCをすべて制限してしまおうと思います。
コンピュータの命名規則があるのでそれを事前登録し、命名規則外のセットアップ時のみログオン先を編集しようと思います。これなら少し楽になります。
共用PCについてかなり煩雑な設定になりますが、量はあまり無いので問題ないと思いま
す。
とりあえずはこれで進めてみようと思います。
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2007-12-11 19:29
なんか方法論ばっか流れてますが、
1. 何が出来たら困るのか
2. 何は出来るようにしたいのか
が整理されてない気がします。
要件が整理されてないで実現方法ばっか考えても混乱するのは
ありがちなことなので。

引用:

グループポリシーで設定すると
http://go.microsoft.com/fwlink/?LinkId=17924
上記の問題等発生する恐れがあるので、ここではローカルセキュリティポリシーのUsersを抜くという作業でいこうと思います。

グループポリシーで問題が起きるならローカルポリシーでも起きます。
Usersをローカルログオン許可から抜くこと自体は、
要件次第では問題になりませんし、
そもそもServerOSではUsersのローカルログオンは除外されてます。
«前のページへ 1|2

スキルアップ/キャリアアップ(JOB@IT)