- PR -

GPO：ロック時にユーザー情報を表示しない設定

投稿者	投稿内容
アキンド会議室デビュー日: 2005/09/09 投稿数: 12	投稿日時: 2006-08-04 16:21 久しぶりに書き込みいたします。掲題の件について、どなたかご存知の方がおられましたら教えてください。 ADとGPOの検証のために、簡単なテスト環境を作っています。 DC：Windows Server 2003 R2 クライアントPC：Windows XP SP2 ここで、クライアントPCでログオンするときなどに、ユーザ情報を表示させないようにするために、以下のようなGPOを作成し、クライアントPCが格納されているOUに割り当てました。コンピュータの構成→Windowsの設定→セキュリティの設定→ローカルポリシー→セキュリティオプションの下の１）対話型ログオン：最後のユーザー名を表示しない（→「有効」に設定）２）対話型ログオン：セッションがロックされているときにユーザーの情報を表示する（→「表示しない」に設定）こうすれば、・ログオン画面では以前に入力したユーザ名が表示されない・ロックしているときの「「ドメイン名\\ユーザ名または管理者のみがこのコンピュータのロックを解除できます」の、ユーザ情報が表示されないと思って適用したのですが… １）はきちんと適用され、ユーザ名が表示されません。ところが、２）の方は適用されていないのか、ロックしている際の画面表示が変わりません。 gpupdateをしたり、イベントビューワでもポリシーが適用されていることを確認しました。また、ローカルPC側でレジストリの設定も見たところ、該当すると思われる部分も反映されていました。具体的には、 \\HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsft\\Windows\\CurrentVersion\\policies\\system の下の dontdisplaylastusername…１）に該当・値：1 dontdisplaylockeduserid…２）に該当・値：3 です。念のため、クライアントPCをいったんドメインから外し、直接上記のレジストリ値を変更したりしたのですが、dontdisplaylastusernameは反映されるのに、dontdisplaylockeduseridは値を0～3の範囲で変更しても何も変わりません。何か別の設定と競合しているのでしょうか？それとも、そもそも設定するところが間違えているのでしょうか？気になるのは、GPMCのヘルプで見ても、セキュリティオプションの項目のところに１）は説明があるのに、２）は説明どころか項目もありません。よろしくお願いします。
アキンド会議室デビュー日: 2005/09/09 投稿数: 12	投稿日時: 2006-08-10 11:33 自己レスになってしまいました。結論から言うと、GPOの対話型ログオン：セッションがロックされているときにユーザーの情報を表示するの設定項目は、Windows XP SP2でも対応していません。 Server 2003 SP1以降のみだそうです。（Microsoftにも確認しました）せめてヘルプファイルにでも書いていれば、テスト環境で検証する必要も無かったのに…

投稿者

投稿内容

アキンド: 会議室デビュー日: 2005/09/09; 投稿数: 12

投稿日時: 2006-08-04 16:21

久しぶりに書き込みいたします。
掲題の件について、どなたかご存知の方がおられましたら教えてください。

ADとGPOの検証のために、簡単なテスト環境を作っています。

DC：Windows Server 2003 R2
クライアントPC：Windows XP SP2

ここで、クライアントPCでログオンするときなどに、ユーザ情報を表示させないようにするために、以下のようなGPOを作成し、クライアントPCが格納されているOUに割り当てました。

コンピュータの構成→Windowsの設定→セキュリティの設定→ローカルポリシー→セキュリティオプション
の下の
１）対話型ログオン：最後のユーザー名を表示しない（→「有効」に設定）
２）対話型ログオン：セッションがロックされているときにユーザーの情報を表示する（→「表示しない」に設定）

こうすれば、
・ログオン画面では以前に入力したユーザ名が表示されない
・ロックしているときの「「ドメイン名\\ユーザ名または管理者のみがこのコンピュータのロックを解除できます」の、ユーザ情報が表示されない
と思って適用したのですが…

１）はきちんと適用され、ユーザ名が表示されません。
ところが、２）の方は適用されていないのか、ロックしている際の画面表示が変わりません。

gpupdateをしたり、イベントビューワでもポリシーが適用されていることを確認しました。
また、ローカルPC側でレジストリの設定も見たところ、該当すると思われる部分も反映されていました。

具体的には、
\\HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsft\\Windows\\CurrentVersion\\policies\\system
の下の
dontdisplaylastusername…１）に該当・値：1
dontdisplaylockeduserid…２）に該当・値：3
です。

念のため、クライアントPCをいったんドメインから外し、直接上記のレジストリ値を変更したりしたのですが、dontdisplaylastusernameは反映されるのに、dontdisplaylockeduseridは値を0～3の範囲で変更しても何も変わりません。

何か別の設定と競合しているのでしょうか？
それとも、そもそも設定するところが間違えているのでしょうか？

気になるのは、GPMCのヘルプで見ても、セキュリティオプションの項目のところに１）は説明があるのに、２）は説明どころか項目もありません。

よろしくお願いします。

アキンド: 会議室デビュー日: 2005/09/09; 投稿数: 12

投稿日時: 2006-08-10 11:33

自己レスになってしまいました。
結論から言うと、GPOの

対話型ログオン：セッションがロックされているときにユーザーの情報を表示する

の設定項目は、Windows XP SP2でも対応していません。
Server 2003 SP1以降のみだそうです。
（Microsoftにも確認しました）

せめてヘルプファイルにでも書いていれば、テスト環境で検証する必要も無かったのに…

＠IT SpecialPR

GPO：ロック時にユーザー情報を表示しない設定

スキルアップ／キャリアアップ（JOB@IT）