none
ローカルサーバーへのログオンはできずに、そのローカルサーバーへの管理者権限を保つには RRS feed

  • 質問

  • Windows 2012 AD 環境です。すべてのメンバーサーバーとすべてのドメインコントローラーに対して、ある特定のドメインユーザーアカウントに管理者権限を与え、かつ、そのドメインユーザーアカントですべてのメンバーサーバーとすべてのドメインコントローラーにログインができないようにできないようにするにはどうしたらよいのでしょうか?

    その特定のドメインユーザーアカウントで、ローカルサーバーやドメインコントローラーのサービスが設定されているわけではないので、サービスアカウントとしてログオンする、というポリシーを設定するだけでは、管理者権限は与えられず、ログオンもできてしまうと思っています(私の認識が間違っているかもしれません)

    その特定のドメインユーザーアカウントを、ローカルサーバーの管理者グループにいれ、ローカルログオンを拒否するポリシーを設定するのでしょうか?

    多分、GPOを使ってローカルポリシーを設定するのだと思います。GPOの使い方は理解していますが、何をどう設定していいのかわかりません。

    どなたかお助けお願いいたします。よろしくお願いいたします。

    2018年6月8日 3:49

回答

  • ローカルポリシーで設定したとしても、ドメインの管理者権限があれば制御できてしまうので個々のサーバーの設定で
    グループの中のadministratorsやUsersからDomain AdminsやDomain Usersを削除してはどうでしょうか。
    2018年6月8日 4:54
  • この辺り?

    必要に応じてローカルログオンを拒否したいコンピューターの OU を作って、その OU に対して上記のポリシーを構成して特定ユーザーのローカル ログオンを拒否できるでしょう。

    ※みゃうさんが書かれているようにログオンを拒否されているユーザーがポリシー自体の変更権を持っていれば、ポリシー自体を書き換えてログオンできるようにすることは可能です。そもそもなんのためにそのような制限を掛けたいのかなどの実務上のニーズに合わせた対処方法を考えてください。


    hebikuzure


    2018年6月8日 4:58
  • oooohです。

    この管理者アカウントはUAC昇格用でしょうか。

    無理やりな方法になりますが、

    当該管理者アカウントのログオンスクリプトで

    「logoff」コマンドを投げるのが一番簡単かと思います。

    2018年6月26日 2:34

すべての返信

  • ローカルポリシーで設定したとしても、ドメインの管理者権限があれば制御できてしまうので個々のサーバーの設定で
    グループの中のadministratorsやUsersからDomain AdminsやDomain Usersを削除してはどうでしょうか。
    2018年6月8日 4:54
  • この辺り?

    必要に応じてローカルログオンを拒否したいコンピューターの OU を作って、その OU に対して上記のポリシーを構成して特定ユーザーのローカル ログオンを拒否できるでしょう。

    ※みゃうさんが書かれているようにログオンを拒否されているユーザーがポリシー自体の変更権を持っていれば、ポリシー自体を書き換えてログオンできるようにすることは可能です。そもそもなんのためにそのような制限を掛けたいのかなどの実務上のニーズに合わせた対処方法を考えてください。


    hebikuzure


    2018年6月8日 4:58
  • oooohです。

    この管理者アカウントはUAC昇格用でしょうか。

    無理やりな方法になりますが、

    当該管理者アカウントのログオンスクリプトで

    「logoff」コマンドを投げるのが一番簡単かと思います。

    2018年6月26日 2:34
  • フォーラム オペレーターの栗下 望です。
    RKwiecien さん、こんにちは。

    当フォーラムのご利用ありがとうございます。

    フォーラム オペレーターからのお願いです。

    本ご質問についてその後の状況はいかがでしょうか。
    皆様からの投稿はお役に立ちましたか。

    参考になった投稿には、[回答としてマーク] を設定いただき、
    同じ問題でお困りの方へ、情報をご提供いただけると幸いです。

    ご協力の程、どうかよろしくお願いいたします。


    参考になった投稿には回答としてマークの設定にご協力ください
    MSDN/TechNet Community Support 栗下 望

    2018年7月3日 7:02
    モデレータ