商品レビューまとめ記事

GPOでサーバ(ホスト)にログオンできるユーザを制限する方法

本記事対象
GPOでホスト(サーバ、クライアント)にログオン可能なユーザを制限する方法について知りたい方

ども。あいしんくいっと(@ithinkitnet)です。

ithinkit

GPOでサーバへアクセス出来るユーザーを制限したい。

セキュリティ上、サーバやクライアント端末にログオン出来るドメインユーザを制限したいことがあります。
例えば、ADサーバや事務処理系のサーバへはアクセス出来るユーザに制限をかけることが多かったりします。

そんな時に使えるのが、「ローカルログオンを許可」というGPO(グループポリシー)です。

「ローカルログオンを許可」というGPOを利用することで、ホストにログオンできるユーザを制限することが出来ます。
設定の流れとしては下記のとおり。

STEP.1
OU作成
STEP.2
作成したOUへホストを移動
STEP.3
GPO作成、適用

GPOで特定ホストにログオンできるユーザを制限する方法

OU作成

アクセス制限をかけたいホストを格納するOUを作成します。
ここでは「Servers」というOUを作成しました。

コンピューターアカウントの移動

制限をかけたいコンピューターアカウントを作成したOU「Servers」へ移動させます。
ActiveDirectory ユーザーとコンピューター

GPO作成

ホストにログオン出来るユーザを制限するため、「ローカルログオンを許可」のGPOを設定します。

[コンピューターの構成] – [ポリシー] – [Windowsの設定] – [セキュリティの設定] – [ユーザー権利の割り当て] – [ローカルログオンを許可]
ローカルグループポリシー「ローカルログオンを許可」

ローカルログオンを許可のプロパティを開き、ログインさせたいユーザもしくはグループを追加します。(ここでは「ServerAdmin」追加)

注意
Administratorsグループは必ず追加すること
セキュリティポリシーの設定

作成したGPOをOUに適用させます。
作成したGPOをOUに適用

これでOU下のコンピューターアカウントへのローカルログオンは制限されます。

アクセス制限の確認

ローカルログオンを許可したユーザもしくはグループに所属するユーザしか、ホストへアクセス出来ないことを確認します。
ホストへのアクセスが制限されたことを確認
「このサインイン方法は利用できません。詳しくは、ネットワーク管理者に問い合わせてください。」
と表示されれば、アクセス制限は効いています。

なお、今回の手順はあくまでローカルログオン(コンソールログオン)を制限するだけ。リモートデスクトップ接続は別途制限をかける必要がありますので悪しからず。。。

GPOが効かない場合はこちらの記事参照。
ActiveDirectoryでGPOが適用されない時に確認したいこと

ログオンスクリプトが動かない場合はこちらも。
ログオンスクリプトが動かない!キャッシュログオン無効化すると動くかも


ローカルログオンを許可のGPOを利用すれば、ホストへアクセス出来るユーザを制限することが出来ます。
覚えておいてください。

以上、あいしんくいっとでした。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

*

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)