- - PR -
Windows Server2003ドメインへのログオンについて
| 投稿者 | 投稿内容 | ||||||||
|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2005-12-27 14:16
いつもお世話になっております。
現在、Windows Server2003でドメインを構成し、 ActiveDirectoryを使用しています。 ドメインに参加させたい端末は事前にActiveDirectoryにて 新規にコンピュータの登録(コンピュータオブジェクトの登録)を行い、 追加したコンピュータ名を端末に付与しログオンさせています。 ところが、ActiveDirectoryに登録していない コンピュータオブジェクト名であっても、端末をドメインに 参加させる手順を行う際にドメインユーザ名とパスワードの 認証が通ればドメインに参加できてしまうのですが、 これを防ぐことは可能でしょうか。 つまり、ActiveDirectoryのコンピュータオブジェクト登録した コンピュータ名しかドメインに参加させないということを 実現したいのです。 グループポリシーで制限できないかと思い、書籍やWEBで 探してみたのですがそれらしきものが見つかりませんでした。 もしご存知の方がおられましたらご教授お願いします。 宜しくお願い致します。 | ||||||||
|
投稿日時: 2005-12-27 15:03
こんにちは。
参加させる手順を行う際に入力している ユーザ名とパスワードがAcountOperatorsもしくは Administratorsに所属していればコンピュータアカウントが 作成されて参加出来てしまいます。 おそらくActiveDirectoryユーザとコンピュータで 事前にコンピュータアカウントを作成する時も 内部的には同じ処理が流れている思いますので 前者の場合だけを防ぐことは出来ないのでは?と思います。 | ||||||||
|
投稿日時: 2005-12-27 16:38
こんにちわ.
とりあえず質問です. ここで書かれている「ドメインユーザー名とパスワード」は 誰でも知っているのですか? そういった重要な情報は一般的に「誰でも知っている」状態であることのほうが よろしくないと思いますけど? そうしてもという話なら, 必要なとき以外はその user account を無効にしておいたらいかがでしょうか? | ||||||||
|
投稿日時: 2005-12-28 13:56
masa様、kaz様ご回答ありがとうございます
ActiveDirectoryにコンピュータを追加する時には ログインを許可したいユーザも一緒に登録していますが、 今回の場合はActiveDirectoryで追加していない 不正なコンピュータ名を勝手にドメインにログオンさせないように したいのですが、不可能ということでしょうか。
ドメインユーザ名とパスワードとはドメインにログオン可能な 個々のユーザ(一般ユーザ)のことです。ドメインのリソースを 利用する者であれば全員自分のアカウントとPWDを発行していますので 誰でも知っているといよりは一個人が自分のアカウントとPWDを 知っているという意味です。そのためそれらのUser Accountを 無効にすることは出来ない状態です。 やはり、ActiveDirectoryで追加していない不正なコンピュータ名を 勝手にドメインにログオンさせないようにすることは不可能なのでしょうか。 | ||||||||
|
投稿日時: 2005-12-28 14:19
こんにちわ.
それはつまり,管理者権限を持たない DomainUsers でも Active Directory に computer account を追加できてしまう, それを抑止したいという理解でよろしいですか? その辺の事実関係を誤り無く確認できているなら, 「そんなはずは無いでしょ」と思いますが...
繰り返しになりますが,「一般 user」という曖昧な認識ではなく, Active Directory で「どの user group に所属しているのか?」を 確認されては如何ですか? 不正であれなんであれ,然るべき権限も無いのに Active Directory に object を追加できるものではありませんよ. | ||||||||
|
投稿日時: 2005-12-28 14:37
こんにちは。繰り返しになりますが、
参加させる手順を行う際に入力している、 ユーザ名とパスワードがドメインのAcountOperatorsグループ もしくは Administratorsグループに所属していれば コンピュータアカウントが 作成されて参加出来てしまいます。 逆に言うと、参加させる手順を行う際に 入力したユーザ名、パスワードが 一般ユーザ(Domainuserグループ)のものであれば コンピュータアカウントを作成する権限を持たないので 当然ドメインに新規参加させることは出来ません。 なのでいらぬ心配だと思うのですが… それとも一般ユーザがドメインの AccountOperatorsグループやAdministratorsグループに 所属しているとおっしゃってます? もしくはそのユーザ名、パスワードを皆に 知られてしまっているとか? いずれにせよ、上記の権限でもドメインに 参加出来ないようにするということは 発想自体がずれていますし、 やろうとしても難しいと思いますよ。 まず、ユーザにその権限を持たせない、 知らせないということが先だと考えます。 | ||||||||
|
投稿日時: 2005-12-28 15:12
こんにちは。
最近サーバから離れてしまってるので、見当違いのことを書くかもしれません。 その時はどうぞお許しくださいませ。 Windows2000だとAuthenticated Usersでもコンピュータアカウントの 作成が可能でしたよね?(回数は10回くらいで制限されてたはずですが) 2003もデフォルトでこれと同じだとすれば、Rydiaさんの言うところの 「一般ユーザ」でもコンピュータアカウントの作成ができてしまうと 思うのですが、どうでしょうか? で、これが当りだとして、じゃぁどうすればAuthenticated Usersから コンピュータアカウントの作成権限を無くせるかは分かりません^^; | ||||||||
|
投稿日時: 2005-12-28 15:25
Windows2000ならその通りではあるんですが、 Windows2003だと、若干事情が変わってます。 ドメインコントローラから見たAuthenticated Usersには 特別な権利が割り当てられてます。 http://www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/ja-jp/526.asp 台数制限なく追加できるユーザ権利については、すでに述べられてる AccountOperatorsやDomainAdmins云々の認識で合ってます。 上記2つの権限は別物であり、今回問題となってる権限は前者である可能性を 考慮しないとなりません。 とりあえず突っ込みだけ。 この辺突っ込まれると僕もよく知らん(汗 _________________ Mattun Microsoft MVP for Directory Services (Oct 2006-Sep 2007) | ||||||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。