SE(しがないエンジニア)のブログ

IT技術ネタ(クラウド・セキュリティ周り)が中心です!他雑記(お馬さん 他いろいろ)もあり。

Active Directory環境下でログオン先を制限する方法

早速実践!

表題を実践するケースとしては職場の環境で理由は様々だと思いますが、サクっと設定可能なので実践します。

 

「サーバー マネージャー」のダッシュボードより[ツール]➡[Active Directory ユーザーとコンピューター]を選択します。開いたウインドウでターゲットとなるユーザを選択しダブルクリックします。「アカウント」タブにて「ログオン先」を押下します。

f:id:btsn:20190704003748j:plain

「ログオンできるワークステーション」画面にて標準は「すべてのコンピューター」すなわちどのPCにもログイン可能な状態なので「次のコンピューター」切り替えてPC名を入力していきます。

f:id:btsn:20190704004016j:plain

設定した上で違うPCにログイン(リモートデスクトップでもOK)すると、こんなメッセージが表示されます。

f:id:btsn:20190704004420j:plain

設定自体は非常に簡単なので実施する機会がありましたらご参考下さい。

メリット・デメリットの考察

メリット

・むやみやたらにログインできないようになるのでセキュリティレベルは上がる

・かつ、PC名をクライアント側で不正に変えて入れるようにしようと試みてもディレクトリ上に同一のPC名が存在できないので防止できる。

・設定方法が簡単なので情報共有すれば他のメンバにも運用を引き継げる(大切!)

デメリット

・1台1台設定する必要があるので運用としては手間になる。抜け漏れの発生の危険。

・基本、どんなPC名(≒コンピュータオブジェクトとして存在していないもの)でもOKなのでtypoしても気づかない。

typoしてしまった場合に自分自身のPCに入れなくなってしまうことも(とは言っても設定している立場の人であれば管理者だと思いますので、他ユーザでログイン可能だとは思いますが。。)

追記(Appendix)

2019/09/06

リモートデスクトップ等で接続する場合は該当ユーザがリモート元のPCにもログインできる必要があります。