none
コンピュータアカウントが無効となったクライアントPC上でのドメインユーザ認証 RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票
    ドメインコントローラ上でコンピュータアカウントを無効にされたクライアントPCで、ローカルプロファイルの無いドメインユーザ認証は、想定通り失敗するのですが、ローカルプロファイルの存在するユーザのドメイン認証は正常に行えてしまい、かつドメインユーザアカウント設定で許可される全てのリソース(ネットワーク上も含めて)に、正常にアクセスできてしまいます。コンピュータアカウントが無効とされたクライアントPC上では、ドメイン認証は機能しないと理解していたのですが、この状況にはどの様な理由が考えられるでしょうか?
    2014年7月1日 10:28
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    既定でキャッシュログオンが有効になっている為ではないでしょうか。
    キャッシュログオンの内容や無効にする方法については、以下のサイトなどを参考にしてみてください。

    [参考]
    キャッシュされたログオンを無効にする
    http://www.atmarkit.co.jp/fwin2k/win2ktips/473clogin/clogin.html

    以下のポリシー設定を行う方法もあります。
    [コンピュータの構成][管理用テンプレート][システム][ログオン][コンピュータの起動およびログオンで常にネットワークを待つ]を有効に設定。

    • 回答の候補に設定 佐伯玲 2014年7月2日 0:37
    • 回答としてマーク 佐伯玲 2014年7月3日 1:44
    2014年7月1日 14:58
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    OMEGATさんの回答に過不足はないのですが、どうでもいいかもしれない補足をします。

    Windows ドメインで「コンピュータアカウントが無効であればユーザーログオンできない」というデザインの認識は、基本的には正しいものだと思います。Windows 2000まではこの認識に変更はなかったのですが、Windows XPで実装された「高速ログオン」機能により、この原則が崩れてしまった、と個人的には思っています。

    ログオンやグループポリシー/ログオンスクリプトの適用の挙動に関して、Windows 2000ライクな運用がしたい、というのであれば、[コンピュータの起動およびログオンで常にネットワークを待つ]を設定して予防するのは一つの見識かもしれません。当然ログオン時間が延びてしまう点は甘受する必要はありますけれど。

    こういう設定をMS的には「Bad Design」(悪い仕様)と呼ぶことがありますが、これは万やむを得ない状況で発生した挙動の不一致を指し、いわゆるバグとは異なる扱いになります。バグと考えて大騒ぎした場合、いわゆる「誰得」の状況が発生することがありますので、注意して対応すると「みんな幸せ」になれるかもしれません。

    • 回答としてマーク 佐伯玲 2014年7月3日 1:44
    2014年7月2日 8:48
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    既定でキャッシュログオンが有効になっている為ではないでしょうか。
    キャッシュログオンの内容や無効にする方法については、以下のサイトなどを参考にしてみてください。

    [参考]
    キャッシュされたログオンを無効にする
    http://www.atmarkit.co.jp/fwin2k/win2ktips/473clogin/clogin.html

    以下のポリシー設定を行う方法もあります。
    [コンピュータの構成][管理用テンプレート][システム][ログオン][コンピュータの起動およびログオンで常にネットワークを待つ]を有効に設定。

    • 回答の候補に設定 佐伯玲 2014年7月2日 0:37
    • 回答としてマーク 佐伯玲 2014年7月3日 1:44
    2014年7月1日 14:58
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    OMEGATさんの回答に過不足はないのですが、どうでもいいかもしれない補足をします。

    Windows ドメインで「コンピュータアカウントが無効であればユーザーログオンできない」というデザインの認識は、基本的には正しいものだと思います。Windows 2000まではこの認識に変更はなかったのですが、Windows XPで実装された「高速ログオン」機能により、この原則が崩れてしまった、と個人的には思っています。

    ログオンやグループポリシー/ログオンスクリプトの適用の挙動に関して、Windows 2000ライクな運用がしたい、というのであれば、[コンピュータの起動およびログオンで常にネットワークを待つ]を設定して予防するのは一つの見識かもしれません。当然ログオン時間が延びてしまう点は甘受する必要はありますけれど。

    こういう設定をMS的には「Bad Design」(悪い仕様)と呼ぶことがありますが、これは万やむを得ない状況で発生した挙動の不一致を指し、いわゆるバグとは異なる扱いになります。バグと考えて大騒ぎした場合、いわゆる「誰得」の状況が発生することがありますので、注意して対応すると「みんな幸せ」になれるかもしれません。

    • 回答としてマーク 佐伯玲 2014年7月3日 1:44
    2014年7月2日 8:48
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    OMEGATさん、チャブーンさん、

    御回答、どうもありがとうございました。

    コンピュータ・アカウントが無効化されたPCが完全にネットワークから切り離されていれば、ユーザはキャッシュログオンできるものの、ネットワークに接続されDCとの通信ができる様になった時点で、キャッシュログオンしたユーザは全てのリソースへのアクセスを失い、何等作業ができなくなるという状況を想定していました。

    MSサポート様からも、コンピュータ・アカウントが無効化され、かついまだにネットワーク越しにDCと通信可能なPC上でも、キャッシュログオンしたユーザは全てのリソースへのアクセスが可能と御回答いただきましたので、現状が仕様の通りであると理解致しました。

    『コンピュータの起動およびログオンで常にネットワークを待つ』を有効とする場合、『対話型ログオン:ドメインコントローラが利用できない場合に使用する、前回ログオンのキャッシュ数』が『0』以外ですとやはりキャッシュログオンは可能となってしまいますので、『対話型ログオン:ドメインコントローラが利用できない場合に使用する、前回ログオンのキャッシュ数』を『0』とすることとしました。

    『対話型ログオン:ドメインコントローラが利用できない場合に使用する、前回ログオンのキャッシュ数』を『0』としたOUを作り、dsmoveで対象コンピュータ・アカウントを当該OUに移動するバッチで対応して居ります。

    どうもありがとうございました。

    2014年7月2日 23:02
    |
  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    『コンピュータの起動およびログオンで常にネットワークを待つ』を有効とする場合、『対話型ログオン:ドメインコントローラが利用できない場合に使用する、前回ログオンのキャッシュ数』が『0』以外ですとやはりキャッシュログオンは可能となってしまいますので、

    これですが、「ネットワークを抜線してログオンしてから接線する」と確かにアクセスできてしまいますね。ちなみにこの場合cifs/<サーバ名>@<レルム>に対してkerberosチケットが発行されるのを確認したので、kerberos認証ができてしまう、ということのようです。

    MSサポートの回答を含め、フィードバックいただきありがとうございます。

    2014年7月3日 3:30
    |
    モデレータ