none
クライアント端末のログオン(利用)を制限したい RRS feed

  • 質問

  • Windowsクライアント端末へのログオンを制限しようと考えています。
    この際、以下の様な条件を満たす設定、或いは、商品、サービス等あればご教示ください。
    ※当社で使っている端末の殆どが Windows7 の為、こちらで質問させて頂きます。

    1.制限は「端末単位」に行いたい(ユーザ毎ではない)
      1-1.端末のローカルユーザー(Adomisistrator等)も含めたい。

    2.端末の「利用場所」で制限を掛けたい。
      2-1.例)社内ネットワーク(AD有)に繋いでいる時は、自由に使える。
      2-2.例)社内ネットワークに繋いでいない時は、平日の10時から18時までしか使えない、等々。
      ※端末の時計まで変更する様な、意図的なハックには、対応不能で構いません。

    以下は「出来れば」系の要件です。

    3.スリープ等からの復帰でも、上記を満たしたい。
      3-1.スリープさせての持出しへの対応。

    4.指定時刻(2-2の例)を超えたら、強制的なログオフ。

    主たる目的は、会社に内緒(未承認)で端末を持ち帰り、自宅等で無届けで作業をする事の、物理的な制限です。
    以上、宜しくお願いいたします。

    2016年1月13日 2:15

回答

  • 各端末にログオンスクリプトやスタートアップを定義し、条件を満たしていなければ即ログオフするようにしてみてはいかがでしょうか。
    スクリプト内で、DCにpingが通らなければネットワーク外と判定させる、などとします。

    ログオンスクリプトをスキップされた場合に備え、
    1.ログオンスクリプトで、レジストリやファイルにログオンした日付を記録する

    2.タスクスケジューラーで、起動してから一定時間後に1の結果を確認させる。
     1の結果、スキップされた(現在時刻と乖離が大きい)なら、強制的にログオフする。

    などの工夫は必要そうです。
    2016年4月30日 9:47
  • チャブーンです。

    Windowsでは「サーバとのログオンセッション管理」はやっていませんので、おっしゃることを「全部実現」はムリです。ムリにでもやりたい場合、他の方がおっしゃるような「作り込み」が必要ですが、知識なしに行うとおそらくトラブル多発で、トータルコストが大変なことになると思います。

    一番簡単なのは、セキュリティポリシー「対話型ログオン:キャッシュする過去のログオン数」(実際はユーザの数ですが)を0に設定して、ドメインアカウントをキャッシュでログオンできないようにすることと、同様に「アカウント:Administratorアカウントの状態」で管理者ユーザを無効にするとともに、スタートアップスクリプトで他のローカルユーザも無効化するようにします(スクリプトは検索で探せば見つけられると思います)。

    これらの設定でドメインコントローラにつながっていない場合、トータルにログオンができなくなるので、ひとまずはある程度のご要望をみたすのではないでしょうか?社内で「ドメインコントローラにつながっていない場合」は対応できないかもしれませんが、このようなケースはかなりまれなので、ユーザの利用方法を変えてもらうことで、対応できるように思います。

    追記:どうしても実現したい場合、したのようなサードパーティアプリケーションがあるようですが、どこまで機能を満たしているのか、等についてはご自身で確認なさってください。

    http://www.isdecisions.com/products/userlock/


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2016年4月30日 11:01

すべての返信

  • 各端末にログオンスクリプトやスタートアップを定義し、条件を満たしていなければ即ログオフするようにしてみてはいかがでしょうか。
    スクリプト内で、DCにpingが通らなければネットワーク外と判定させる、などとします。

    ログオンスクリプトをスキップされた場合に備え、
    1.ログオンスクリプトで、レジストリやファイルにログオンした日付を記録する

    2.タスクスケジューラーで、起動してから一定時間後に1の結果を確認させる。
     1の結果、スキップされた(現在時刻と乖離が大きい)なら、強制的にログオフする。

    などの工夫は必要そうです。
    2016年4月30日 9:47
  • チャブーンです。

    Windowsでは「サーバとのログオンセッション管理」はやっていませんので、おっしゃることを「全部実現」はムリです。ムリにでもやりたい場合、他の方がおっしゃるような「作り込み」が必要ですが、知識なしに行うとおそらくトラブル多発で、トータルコストが大変なことになると思います。

    一番簡単なのは、セキュリティポリシー「対話型ログオン:キャッシュする過去のログオン数」(実際はユーザの数ですが)を0に設定して、ドメインアカウントをキャッシュでログオンできないようにすることと、同様に「アカウント:Administratorアカウントの状態」で管理者ユーザを無効にするとともに、スタートアップスクリプトで他のローカルユーザも無効化するようにします(スクリプトは検索で探せば見つけられると思います)。

    これらの設定でドメインコントローラにつながっていない場合、トータルにログオンができなくなるので、ひとまずはある程度のご要望をみたすのではないでしょうか?社内で「ドメインコントローラにつながっていない場合」は対応できないかもしれませんが、このようなケースはかなりまれなので、ユーザの利用方法を変えてもらうことで、対応できるように思います。

    追記:どうしても実現したい場合、したのようなサードパーティアプリケーションがあるようですが、どこまで機能を満たしているのか、等についてはご自身で確認なさってください。

    http://www.isdecisions.com/products/userlock/


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2016年4月30日 11:01