- PR -

アカウントの使用制限に関して

1
投稿者投稿内容
humble-pie
会議室デビュー日: 2004/08/09
投稿数: 6
投稿日時: 2004-08-09 12:41
はじめまして。小さな会社の管理者もどきをやっておりますhumble-pieと申します。よろしくお願いします。

現在windows server 2003への以降を検討中です。2003にて実現したいことは「一回限り有効のアカウント」を作成できるか?ということです。当社ちいさいながらどういうわけか外部の人間の出きりが多く、PCを触る機械が多いのですが、GUEST用のアカウントを多数作成しておき、それを割り振っていたのですが、管理の手間がかかりすぎまして。

一回ログオンすると以降無効になる(削除されてしまう)アカウントの作成は可能でしょうか?なにかソフトが必要であれば導入も検討します。

よろしくお願いします。
MERCY
常連さん
会議室デビュー日: 2003/12/16
投稿数: 24
投稿日時: 2004-08-09 12:52
えーと、具体的にやりたいことは何でしょう?
それと、サーバ構成はどうなってますか?
ログインした瞬間にアカウントを無効にしては恐らく目的とは異なる結果になると思います。
humble-pie
会議室デビュー日: 2004/08/09
投稿数: 6
投稿日時: 2004-08-09 13:39
すいません。具体的にやりたいことは

2003にてAD構築。
ゲスト用テンポラリーアカウントを登録。

で、テンポラリーアカウントでログオンしたユーザーがログアウトすると、そのユーザーアカウントはその時点から無効になる。

みたいな仕組みにしたいのですが・・・。

要は一回限り有効なアカウントの作成は可能か?ということです。

よろしくお願いします。

引用:

MERCYさんの書き込み (2004-08-09 12:52) より:
えーと、具体的にやりたいことは何でしょう?
それと、サーバ構成はどうなってますか?
ログインした瞬間にアカウントを無効にしては恐らく目的とは異なる結果になると思います。


[ メッセージ編集済み 編集者: humble-pie 編集日時 2004-08-09 16:59 ]
MERCY
常連さん
会議室デビュー日: 2003/12/16
投稿数: 24
投稿日時: 2004-08-09 19:52
えーと、試してないのですが
ログインスクリプトで「次回ログオン時にパスワード変更」として
所属させるグループから「パスワード変更の許可」を抜けばどうでしょう?

humble-pie
会議室デビュー日: 2004/08/09
投稿数: 6
投稿日時: 2004-08-09 22:03
一回ログオンするとそのアカウントは物理的に無効アカウントにしたいんですけど無理でしょうか?

引用:

MERCYさんの書き込み (2004-08-09 19:52) より:
えーと、試してないのですが
ログインスクリプトで「次回ログオン時にパスワード変更」として
所属させるグループから「パスワード変更の許可」を抜けばどうでしょう?


kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2004-08-09 22:58
こんばんわ.
引用:

humble-pieさんの書き込み (2004-08-09 22:03) より:
一回ログオンするとそのアカウントは物理的に無効アカウントにしたいんですけど無理でしょうか?
引用:

MERCYさんの書き込み (2004-08-09 19:52) より:
えーと、試してないのですが
ログインスクリプトで「次回ログオン時にパスワード変更」として
所属させるグループから「パスワード変更の許可」を抜けばどうでしょう?


環境がないので試せませんが,
記憶では logon script は「logon した人の権限」で動くのではないかったかと.
とすると,user account の権限などで runas するなどの
細工が必要ではないかと思われます.

で,単純に自分の知識で知り得る限り,
net user で /doman option と /active option で操作できますが,
「domain controller 上」な内容だった記憶があります.
或いは権限さえあれば /domain で実行できるのかもしれませんが,
詳しくは net user /help で簡単に調べられるのではないかと思われます.

以上,ご参考までに.
MERCY
常連さん
会議室デビュー日: 2003/12/16
投稿数: 24
投稿日時: 2004-08-10 10:22
引用:

humble-pieさんの書き込み (2004-08-09 22:03) より:
一回ログオンするとそのアカウントは物理的に無効アカウントにしたいんですけど無理でしょうか?

テンポラリのマシンが有るならそのマシンのステータス確認は行えるでしょうが
ゲストのPCを繋げるなら、サスペンドされたり、LANケーブル抜かれたり・・・・
ログアウトを判定できないかと思います。

テンポラリのマシンを用意してるって事であるなら
ログオン時にアカウント名を記録して
ログアウト時にログオフスクリプトでアカウントを無効に
午前4時とかにログオンアカウントを無効アカウントにすればいいかと。
(クラッシュ対策)
humble-pie
会議室デビュー日: 2004/08/09
投稿数: 6
投稿日時: 2004-08-10 22:24
いろいろとアドバイスありがとうございます。

皆さんのご意見参考にしまして次のような方法で運用しようと思います。

1 テンポラリアカウント作成
2 テンポラリアカウント用OUにアカウントを追加
3 上記OUに対しGPOを設定。内容はログオフ時にアカウントを無効にする(net user %username% /active:no)ポリシー。

検証してみたらこんな感じでほぼ実現できそうです。
もっといい方法ありましたらよろしくお願いします。


引用:

MERCYさんの書き込み (2004-08-10 10:22) より:
引用:

humble-pieさんの書き込み (2004-08-09 22:03) より:
一回ログオンするとそのアカウントは物理的に無効アカウントにしたいんですけど無理でしょうか?

テンポラリのマシンが有るならそのマシンのステータス確認は行えるでしょうが
ゲストのPCを繋げるなら、サスペンドされたり、LANケーブル抜かれたり・・・・
ログアウトを判定できないかと思います。

テンポラリのマシンを用意してるって事であるなら
ログオン時にアカウント名を記録して
ログアウト時にログオフスクリプトでアカウントを無効に
午前4時とかにログオンアカウントを無効アカウントにすればいいかと。
(クラッシュ対策)
1

スキルアップ/キャリアアップ(JOB@IT)