none
リモート接続を許可/禁止するActive Directory属性を教えてください RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    監査対応の為、csvdeでActive Directoryの定義をEXPORTし、設定内容の妥当性を検査しようとしています。

    具体的にはリモート接続の許可/禁止状態(ターミナル接続使用権限)を検査したいのですがDirectory属性名が判りません。

    Active Directory属性名をご教示ください。

    検索してみたのですが発見できませんでした。

    本属性に限らず、全ての属性名とその意味を公開しているページのURLが判ると非常に助かります。

    2013年10月11日 4:29
    |

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    >具体的にはリモート接続の許可/禁止状態(ターミナル接続使用権限)

    具体的にどこの項目で設定する権限を指していますでしょうか?
    同じような名前で同じような機能が沢山あるため、何を監査しようとしているのかが若干不明瞭です。

    基本的には、ターミナル接続の仕様についてはグループポリシーで絞るのが普通と思われます。
    ユーザーごとにどのOUに入っているかを確認し、そのOUに適用される権限をご確認ください。

    「グループ ポリシーの設定でリモート デスクトップを許可する」
    http://www.upken.jp/kb/allow-remote-desktop.html

    【ご参考】

    ”All Attributes-The following attributes are defined by Active Directory.”

    http://msdn.microsoft.com/en-us/library/windows/desktop/ms675090.aspx

    ”User class”
    http://msdn.microsoft.com/en-us/library/windows/desktop/ms683980(v=vs.85).aspx

    ”All Classes
    http://msdn.microsoft.com/en-us/library/windows/desktop/ms680938(v=vs.85).aspx


    2013年10月11日 5:14
    |
    モデレータ
  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    Chukiさんの回答に補足します。

    あるユーザがリモートデスクトップサービスに接続できるかどうか、次が条件です。

    1. 接続先(RDセッションホスト)上の、[リモートデスクトップサービスを使ったログオンを許可]ポリシーにグループ名(ドメインまたはローカルグループ)が記載されている
    2. 該当ユーザのmemberOf属性に1のドメイングループが含まれている
      あるいは
      RDセッションホストの1のローカルグループのメンバーに、該当ユーザか該当ユーザのmemberOf属性のドメイングループが含まれている

    ですから、単独で接続可否を指定するような設定はそももそありません。Chukiさんのコメント通り、1についてはグループポリシーで設定するものであり、LDAPでこの情報は呼び出せませんので、結論としてLDAP属性を見て判別することは不可能です。



    2013年10月11日 13:34
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    お返事が遅れ申し訳御座いません。

    ご回答ありがとうございました。

    【ご参考】のサイトをチェックしましたが、該当する属性を特定する事はできませんでした。

    ターミナル接続禁止の方法ですが、私共はDomain Adminsグループのアカウントの中でアカウントは無効化できないが、リモート操作を禁じなければならないケースが有ります(任務は終了しているが、本番バッチジョブの実行アカウントとして登録されてしまっている恐れがある時)。

    その際、暫定措置として、下記の方法でユーザ単位にターミナル接続を無効化しております。

    1.標準ツール「Active Directoryユーザとコンピュータ」で該当ユーザを検索する。

    2.該当ユーザのアカウントのプロパティ画面で[リモート デスクトップ サービス のプロファイル]タブを開く。

    3.[このユーザのリモートデスクトップセッションホストサーバーへのログオンを拒否する(D)]チェックボックスにチェックを入れる。

    アカウント単位でこのような操作ができますので、これに対応するActive Directory属性は存在するものと考えました。

    お気付きの点がございましたらご教示くださると助かります。

    2013年10月17日 6:09
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンさん、詳細をありがとうございます。

    chukiさんのご回答の返信に記したとおり、アカウント単位にターミナル接続禁止する事ができるので、属性として存在するのではないかと考えております。

    2013年10月17日 6:13
    |
  • Question
    サインインして投票
    1
    サインインして投票

    http://msdn.microsoft.com/en-us/library/windows/desktop/ms680847(v=vs.85).aspx

    http://msdn.microsoft.com/en-us/library/windows/desktop/aa383844(v=vs.85).aspx

    • 回答の候補に設定 佐伯玲 2013年10月30日 7:29
    2013年10月17日 6:43
    |
  • Question
    サインインして投票
    0
    サインインして投票

    HomeClosetさんがすでに回答されていますが、userParametersに保存されています。

    2.3.1 userParameters

    http://msdn.microsoft.com/en-us/library/ff635189.aspx

    正直まともに操作する気が起きない設定値ですが、なんとかPowerShellならなんとか触る気がします。

    ■PowerShellの例

    $obj = [ADSI]"LDAP://CN=TestUser,CN=Users,DC=ChukiTest,DC=local"
$obj.PSBase.InvokeGet("AllowLogon")

    Hey, Scripting Guy! How Can I Edit Terminal Server Profiles for Users in Active Directory?http://blogs.technet.com/b/heyscriptingguy/archive/2008/10/23/how-can-i-edit-terminal-server-profiles-for-users-in-active-directory.aspx

    • 回答の候補に設定 佐伯玲 2013年10月30日 7:29
    2013年10月17日 8:41
    |
    モデレータ