- PR -

ドメインへのログインアカウントを端末毎に限定したい

1
投稿者投稿内容
saysos
常連さん
会議室デビュー日: 2005/06/30
投稿数: 23
投稿日時: 2005-07-05 12:07
みなさん今日は、

実は今度、組織内のクライアントをある大規模ドメインに参加させることになりました。
もしご存知でしたら教えて頂きたいのですが、
できればクライアント端末毎に、ドメインへ参加させるIDを限定し、
参加後、当該端末からドメインへのログインを、ドメインへ参加させた時のID,パスワードであった場合に限り、
許可するようにしたいのですが、
クライアント側で処置するのではなく、ドメインコントローラ側でなにかしら設定できないものでしょうか?

当方は管理者ではないのですが、方法があるなら頼んでやってもらおうと思っています。
以前管理者に聞いた時は、クライアントのローカルセキュリティポリシーのローカルログオンで
設定する方法を紹介されましたが、うちの組織の平均的ユーザではかなり危なそうです。
ちなみに前出の管理者からは「自己責任で」と念を押されました。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-07-05 21:58
こんばんわ.

とりあえず local の account と Domain の account が
区別されていることは理解されていますか?
引用:

saysosさんの書き込み (2005-07-05 12:07) より:

できればクライアント端末毎に、ドメインへ参加させるIDを限定し、
参加後、当該端末からドメインへのログインを、ドメインへ参加させた時のID,パスワードであった場合に限り、
許可するようにしたいのですが、

この「Domain へ参加させたときの ID」は
Domain 側の account のことを指していますか?
であれば,その Domain user の logon できる端末を指定してしまえば良いでしょう.
引用:

以前管理者に聞いた時は、クライアントのローカルセキュリティポリシーのローカルログオンで
設定する方法を紹介されましたが、うちの組織の平均的ユーザではかなり危なそうです。

これが何を指しているか良くわかりませんが,
client local の設定で logon できる user を制限できるとは思えませんが?
saysos
常連さん
会議室デビュー日: 2005/06/30
投稿数: 23
投稿日時: 2005-07-06 08:42
kazさん、おはようございます。ご回答ありがとうございます。

ローカルのアカウントとドメインのアカウントが区別されていることは
理解しているつもりです。

この方法は主題ではなく、単に背景の説明で添えただけなのですが、
興味を持たれたようなのでもう少し詳細に説明します。
この方法で確かに目的の制限ができることを実験によって確認しています。

まずコンピュータをドメインに参加させます。たぶん参加させておかないとうまく行きません。
次にローカルのAdmin権限を持ってコンピュータにログインします。
ローカルのアカウント(Admin権限)でローカルにログインしてもいいですし、
ドメインアカウントでドメインへログインしてもいいです。
後者の場合は、事前に当該ドメインアカウントをローカルのAdministratorsグループへ
入れておく必要があります。

次に、Win2000の場合(私のがこれですので)なら、

コンパネ → 管理ツール → ローカルセキュリティポリシー

を開き、さらにここで、

「ユーザ権利の割り当て」を選択し、
「ローカルログオン」をダブルクリックします。

ここで制限したいもののチェックを外し(チェックを外して閉じて開くと消えます)、
追加ボタンでログインを許可したいアカウントを追加ボタンから追加します。
私の場合は、

コンピュータ名\\ローカルアカウント名
ドメイン名\\ドメインアカウント名
(追加ボタンを押した後手入力するより選択した方が確かだと思います。)

だけにしてありますが、
この設定で他人に自分のコンピュータを勝手に使われることが無いようにしています。

この方法の問題点は、うちの平均的ユーザのレベルからして危く、
操作を誤ると、Admin権限でローカルに入れなくなったり、
最悪誰もコンピュータにログインできなくなる危険があるということです。
管理者が「自己責任」を強調したのはそのような理由からだと思います。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-07-06 12:17
こんにちわ.

出掛けなので簡単に.
引用:

saysosさんの書き込み (2005-07-06 08:42) より:

この方法の問題点は、うちの平均的ユーザのレベルからして危く、
操作を誤ると、Admin権限でローカルに入れなくなったり、
最悪誰もコンピュータにログインできなくなる危険があるということです。
管理者が「自己責任」を強調したのはそのような理由からだと思います。

その内容は ActiveDirectory 側の group policy にあったりしませんか?
であれば,OU を細かくわけることで集中的に定義できると思います.
できるなら,「どこまで細かく分けるか?」が勘所でしょう.
※調べてないので確報ではないです,悪しからず.
1

スキルアップ/キャリアアップ(JOB@IT)