none
特定のパソコンにログオンできるユーザを限定する_Authenticated Usersが勝手に作成される RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    特定のパソコンにログオンできるユーザを限定しているのですが、

    ADグループポリシーで

    「コンピューターの構成」⇒「ポリシー」⇒「Windowsの設定」⇒「セキュリティの設定」⇒「制限されたグループ」
    で、「Users」グループを追加し、対象のユーザーまたはグループを指定していますが、

    設定内容とは別に2つ追加されて、ドメインユーザーならだれでもログインできてしまいます。

    NT AUTHORITY\Authenticated Users

    NT AUTHORITY\INTERACTIVE

    GPupdate実施すると2つのアカウントが消えてグループポリシーの設定と同じになり正しい状態になります。

    再起動すると2つのアカウントが増えて、制御ができておりません。

    このユーザーはポリシーとは別に追加されるものなのでしょうか。

    制限されたグループでのログインのみに限定したいです。

    環境

    AD Windows2012R2

    端末 Win10 1709

    参考URL

    https://social.technet.microsoft.com/Forums/ja-JP/f73556aa-1c44-43ea-8226-2bac0602ded2/29305234501239812497124771246712531123951252512464124581253112

    2019年4月9日 5:59
    |

回答

  • Question
    サインインして投票
    2
    サインインして投票

    チャブーンです。

    この件ですが、ローカルグループ「Users」のメンバー制御でログオンユーザーを決める、方法はお奨めしません。Usersに含まれる「NT AUTHORITY\Authenticated Users」や「NT AUTHORITY\INTERACTIVE」は、ログオンユーザーがデスクトップ上でアプリケーションを正常利用するために必要な権限だからです。「NT AUTHORITY\INTERACTIVE」は(ユーザー権限で起動したプロセス等が)デスクトップと対話的にログオン・アクセスするために必要な権限で、これがないとデスクトップとの対話が必要なアプリケーション(一般的なGUIアプリ)は正常に動かない可能性が高いです。

    このようなケースでお奨めなのは、Active Directoryのドメインユーザーの[プロパティ]-[アカウント]タブ-[ログオン先]にある、「ログオンできるワークステーション」で、ログオン可能なPCを決め打ちすることです。(全部のユーザーで指定すれば、うまくいくと思います)

    それが気に入らない場合、グループポリシー[ローカルログオンを許可]に、許可したいユーザーやグループを追記するかたちで、設定してください。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク Discovery_O 2019年4月11日 2:45
    2019年4月10日 2:08
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    2
    サインインして投票

    チャブーンです。

    この件ですが、ローカルグループ「Users」のメンバー制御でログオンユーザーを決める、方法はお奨めしません。Usersに含まれる「NT AUTHORITY\Authenticated Users」や「NT AUTHORITY\INTERACTIVE」は、ログオンユーザーがデスクトップ上でアプリケーションを正常利用するために必要な権限だからです。「NT AUTHORITY\INTERACTIVE」は(ユーザー権限で起動したプロセス等が)デスクトップと対話的にログオン・アクセスするために必要な権限で、これがないとデスクトップとの対話が必要なアプリケーション(一般的なGUIアプリ)は正常に動かない可能性が高いです。

    このようなケースでお奨めなのは、Active Directoryのドメインユーザーの[プロパティ]-[アカウント]タブ-[ログオン先]にある、「ログオンできるワークステーション」で、ログオン可能なPCを決め打ちすることです。(全部のユーザーで指定すれば、うまくいくと思います)

    それが気に入らない場合、グループポリシー[ローカルログオンを許可]に、許可したいユーザーやグループを追記するかたちで、設定してください。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • 回答としてマーク Discovery_O 2019年4月11日 2:45
    2019年4月10日 2:08
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンさん

    返信ありがとうございます。

    懸念点ありがとうございます。勉強になりました。

    2つの設定検討してみました。

    >・Active Directoryのドメインユーザーの[プロパティ]-[アカウント]タブ-[ログオン先]にある、「ログオンできるワークステーション」で、ログオン可能なPCを決め打ちすることです。

    ユーザ数、グループ数が膨大なため、その制御は人為的な負荷が高いので好ましくないです。

    >・グループポリシー[ローカルログオンを許可]に、許可したいユーザーやグループを追記する

    ActiveDirectory環境でグループをセキュリティグループで作成しているため、設定ができませんでした。

    再度、調査、検証してみます。

    2019年4月10日 5:35
    |
  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    この件ですが、

    ユーザ数、グループ数が膨大なため、その制御は人為的な負荷が高いので好ましくないです。

    GUIでやるとムリそうですが、net user /workstationコマンドを使って設定する(実際はFor /Fコマンドとの合わせ技)のであれば、内容によってはできるかもしれませんね。

    ActiveDirectory環境でグループをセキュリティグループで作成しているため、設定ができませんでした。

    [ローカルログオンを許可]については、ローカルグループだけではなく、ドメインのセキュリティグループも指定できます。もちろんドメインアカウント個体の指定も可能です。(この場合既定のUsersグループは削除します)

    ドメイン上のGPOを使うのか、ローカルGPOに変更を加えるのか、は要件次第かと思います。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2019年4月10日 6:07
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンさん

    回答ありがとうございます。

    >グループポリシー[ローカルログオンを許可]に、許可したいユーザーやグループを追記する

    >[ローカルログオンを許可]については、ローカルグループだけではなく、ドメインのセキュリティグループも指定できます。

    >もちろんドメインアカウント個体の指定も可能です。(この場合既定のUsersグループは削除します)

    検証しました。

    [ローカルログオンを許可]にAdministrators、Backupoperators、該当のグループを設定し、

    ログインしたところ、別のグループではログインできないことを確認しました。

    別途気付く点があれば、よろしくお願いいたします。

    要件を満たせそうなので、引き続き検証してみます。

    2019年4月11日 2:45
    |