ローカルログオンを禁止する
昨年末にサブ機に降格したマシンを家庭用にしているのだが、このログオンにについて悩ましい問題が続いていた。ログオンする人のアカウントはすべてドメ インに参加させ、環境を統一させていたが、サーバーの電源がオフのときもローカルログオンできてしまい、管理が失敗していた。そのことを既に知っている、 「悪魔たち」は、「アカウントをロックアウトしたよ。」と、脅してもPCを起動させてしまう。#なめられている。
サーバーの電源オンの際は、サーバー側のアカウント情報で、ログオン時間を制限していたが、サーバーの電源オフのとき、ローカルログオンされてしまう と、ログオン時間の制限も台無しになっていた。昨日から本格的に検索したが、なかなか引っかからない。キー・ワードが悪いせいなのか、本家マイクロソフト の情報でも、引っかかりが悪い。
当初、リモートアクセスで強制的に管理しようと考えたが、アクセスを拒否されてしまう。以前、メインで使用していたので、そのような設定をしていたのだろう。どこをいじったか既に失念している。
本日、降ってきたように、ローカルセキュリティーポリシーのことを思い出した。久しぶりにサブ機にログオンして、ローカルセキュリティーポリシーを眺める。カテゴリーは、当然、セキュリティ関連なのでその関係を探すと、見つかった。
ローカルセキュリティポリシー=>セキュリティーオプション=>対話型ログオン:ドメインサーバーが利用できないときに使用する、前回ログオンのキャッシュ数
こ れが初期値で10になっている。この数値を0にするとキャッシュが無効になるという。早速設定し、サーバーの電源をオフ、サブ機も電源オフにして、確認の 準備を整える。サブ機でログオンしようとすると、ローカルログオンもできないし、サーバーの電源がオフになっているので、認証できず、一切のログオンが不 可能になった。
#成功した。管理者をなめるなよ。
サーバー側で指定した日時にしか、サブ機が利用できないようになった。これから、「時間を守りなさい」、「いい加減に終わりなさい」という、言葉も言わなくてもすみそうだ。利用者からは、ブーイングが出そうだけど。
【 追 記 】
上記の機能では、ログオン時の制限を行うことができるが、制限時間内にログオンしてしまうと、そのままクライアントPCと サーバーのセッションを維持することができてしまう。そのため、サーバー側のドメインセキュリティー設定で、「ログオン時間の有効期間が切れると、クライ アントを切断する」ポリシーを有効にした。初期値は、未定義。また、切断するまでのアイドル時間を3分に設定した。初期値は15分。
この設定は、動作確認をしていないが、希望通りの設定になっただろう。
....
ラベル: ダメダメな一日
posted by namoma @ 9:59 午前
0 Comments:
コメントを投稿
<< Home