- PR -

ADでログインの制限

1
投稿者投稿内容
未記入
常連さん
会議室デビュー日: 2005/01/28
投稿数: 22
投稿日時: 2005-04-07 08:48
いつも参考にさせていただいております。
ActiveDirectoryの機能について2点質問がございます。
環境は、Windows server 2003でクライアントは、XP Proです。

(1)他の端末がログインしているユーザで別端末がログイン使用とした時、
  NGにすることは可能でしょうか。

(2)特定の端末には、Aユーザでのログインは可能だが、Bユーザでのログインは
  不可という制限をかけることは可能でしょうか。

当初の設計段階で考えていなかった制限で調査に苦戦しております。
参考となる事例等ございましたらご助力お願いいたします。

よろしくお願いいたします。


  
_________________
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-04-07 09:13
おはようございます.
引用:

未記入さんの書き込み (2005-04-07 08:48) より:

(1)他の端末がログインしているユーザで別端末がログイン使用とした時、
  NGにすることは可能でしょうか。

ちょっと違うかもしれませんが,
「複数箇所から同時に logon できない」という制限は出来たのではないかと.
引用:

(2)特定の端末には、Aユーザでのログインは可能だが、Bユーザでのログインは
  不可という制限をかけることは可能でしょうか。

「特定の user は特定の端末からしか logon できない」という制限は出来ます.
でもそれは「端末本位」ではなく「user account 本位」な考え方だったりします.

以上,ご参考までに.
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2005-04-07 10:30
引用:

(1)他の端末がログインしているユーザで別端末がログイン使用とした時、
  NGにすることは可能でしょうか。

そういう設定項目はなかったはず。
ログオフイベントを検知できないケースがあることを考慮すれば、
無くても仕方ないとは思います。

手作りでどうにかするなら、
・ログオンスクリプト
 特定のサーバの共有フォルダに、ユーザ名を含んだ空ファイルを作成する
 すでにファイルがある場合には強制ログオフ
・ログオフスクリプト
 ログオンスクリプトで作成した空ファイルを削除
なんてのを行えば、出来るかもしれないなぁとは思います。

引用:

(2)特定の端末には、Aユーザでのログインは可能だが、Bユーザでのログインは
  不可という制限をかけることは可能でしょうか。

各端末のローカルポリシーにおいて、ローカルログオンユーザの制限を行えば可能です。
既定では、ドメイン参加端末に対して、DomainUsers以上のユーザはローカルログオン可能です。

この手の制限をかけられるとしたら、グループポリシーか、ADユーザとコンピュータの
いずれかだ、と思います。
その辺の設定を見る限りで言ってるので、他の部分で設定が出来たり、
他社製品の利用をした場合は変わってくるかとは思います。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-04-07 12:09
横槍ですが質問させてください.
引用:

Mattunさんの書き込み (2005-04-07 10:30) より:
引用:

(1)他の端末がログインしているユーザで別端末がログイン使用とした時、
  NGにすることは可能でしょうか。

そういう設定項目はなかったはず。

たしかに,ActiveDirectory 側には無かったかもしれませんね.
NT Domain のころ,Windows9x ではそのような「Domain への参加の仕方」が
あったと記憶しています.
Windows NT 以降にはないのでしたっけ?
1

スキルアップ/キャリアアップ(JOB@IT)