- PR -

ログオン制限について

1|2 次のページへ»
投稿者投稿内容
プラネッツ
常連さん
会議室デビュー日: 2006/10/06
投稿数: 26
投稿日時: 2007-12-07 15:27
ドメインコンピュータのログオン制限についてですが、
各アカウントのログオン制限については知っているのですが、
各PCのローカルユーザ・グループを操作して制限するとなにか問題が発生するでしょうか?
操作として
1.ローカルAdministratorsグループに使用する人のアカウントを設定する。
2.ローカルUsersグループから「Domain Users」「INTERACTIVE」「Authentificated Users」を削除する。
1の作業がセットアップ時に必要な為、2の作業をついでにやってしまおうと思っています。

考えられるリスクがあれば知っておきたいと思いご質問させていただきました。
ちゃっぴ
ぬし
会議室デビュー日: 2004/12/10
投稿数: 873
投稿日時: 2007-12-07 15:34
えーと。2 の作業はどうやってもできませんね。
Windows の仕様上無理です。

なお、やりたいことは下記だと思うので読んでみてくださいな。

セキュリティ設定およびユーザー権利の割り当てを変更すると、クライアント、サービス、およびプログラムの互換性がなくなる
_________________
プラネッツ
常連さん
会議室デビュー日: 2006/10/06
投稿数: 26
投稿日時: 2007-12-07 19:02
お返事ありがとうございます。

ADを現在導入検討中なのですが、使用者にはクライアントPCのAdministrator権限を与える予定です。使用者をクライアントPCのAdministratorsグループに追加する作業がAD上できれば後はログイン制限で問題ないのですが、使用者を管理者権限にするのはクライアントPCでの作業、他ユーザをログインさせないようにするにはAD上での作業となると作業漏れなどが発生するのでどちらかの作業で完結したいと思っております。

なにかお知恵があれば参考にさせていただきたいと思います。


ちゃっぴ
ぬし
会議室デビュー日: 2004/12/10
投稿数: 873
投稿日時: 2007-12-08 00:56
引用:
ADを現在導入検討中なのですが、使用者にはクライアントPCのAdministrator権限を与える予定です。


その時点で security は崩壊してます。
Administrators group に所属するということはその端末でなんでもできるということになります。
企業内で security を意識するのであれば絶対にやってはいけない構成です。

引用:
使用者をクライアントPCのAdministratorsグループに追加する作業がAD上できれば後はログイン制限で問題ないのですが、


Group policy でできますが、前述の通り推奨しません。

引用:
他ユーザをログインさせないようにするにはAD上での作業となると作業漏れなどが発生するのでどちらかの作業で完結したいと思っております。


逆だと思いますが。。。AD 上で作業したほうが作業漏れが少なくなります。
_________________
ちゃっぴ
ぬし
会議室デビュー日: 2004/12/10
投稿数: 873
投稿日時: 2007-12-08 07:50
読み違いをしていました。

引用:
使用者を管理者権限にするのはクライアントPCでの作業、他ユーザをログインさせないようにするにはAD上での作業となると作業漏れなどが発生するのでどちらかの作業で完結したいと思っております。


ここでいう Administrators は local でしょうから、その端末を何かしらの方法で制御してやらないと無理でしょう。

Logon の制御は 2種類ありますね。
Domain へ logon するのを制限するのか、その端末に logon するのを制限するのか?
前者の方はさらにどの computer を使ってというので分かれますが。

一括で制御したいというのであれば、一連の処理を script 化してやることですね。
_________________
プラネッツ
常連さん
会議室デビュー日: 2006/10/06
投稿数: 26
投稿日時: 2007-12-10 09:41
基本PCを初期セットアップしないといけないのでPCでもADでも何らかの作業を行うことは可能なのですが、両方しないといけないのはちょっと大変です。

今までを総括するとADの設定とクライアントのPCの設定を変更するよりは各クライアント端末ですべて設定するほうが無難な感じがしますので、セットアップ時に設定を入れるスクリプト(できるかどうかはわかりませんが)で対応しようと思います。

ありがとうございました。
BackDoor
ぬし
会議室デビュー日: 2006/02/20
投稿数: 831
投稿日時: 2007-12-10 10:30
やり方次第じゃありませんか?

引用:
プラネッツさんの書き込み (2007-12-10 09:41) より:

基本PCを初期セットアップしないといけないのでPCでもADでも何らかの作業を行うことは可能なのですが、両方しないといけないのはちょっと大変です。

勤務先での顧客PCのセットアップ方法を紹介します。

クライアントPCは全てGhostにてセットアップ。
local Administratorは全て共通ID
→ 遠隔保守用なので、顧客はこのユーザID・パスワードは知りません。
  AD環境にはこのIDは未登録です。

顧客のユーザ毎のIDはAD環境に別途登録(users権限、一部PowerUsers有)
初期パスワード(初回ログオン時にパスワード変更指定有り)は本人のみ
に通知。
→ 基本的にユーザ管理はAD環境のみで行なう方式にしています。

以上、参考まで。
プラネッツ
常連さん
会議室デビュー日: 2006/10/06
投稿数: 26
投稿日時: 2007-12-10 13:52
とりあえずクライアントPCのAdministratorのパスワードをこちらで管理しているのでセットアップはAdministratorで実施し、使用者(ADアカウント)をAdministratorsグループへ、UsersからDomain Users/INTERACTIVE/Auth Usersをはずすスクリプト(Net Localgroup ...)で作成しようと思います。

ちなみにXPでINTERACTIVE/Authenticated Usersを削除するとこんな記事があって少々辛いですが・・・
http://support.microsoft.com/kb/300067/ja
LCS入れてリモートサポートするなんてことにまではなんとかなると思っています。

色々アドバイスありがとうございました。
1|2 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)