運営者プロフィール

GPOでサーバ(ホスト)にログオンできるユーザを制限する方法

本記事対象
GPOでホスト(サーバ、クライアント)にログオン可能なユーザを制限する方法について知りたい方

ども。あいしんくいっと( @ithinkitnet)です。

特定サーバやクライアント端末にログオン出来るドメインユーザを制限したいことがあります。
例えば、ADサーバや事務処理系のサーバへはアクセス出来るユーザに制限をかけたかったり。

そんな時に使えるのが、「ローカルログオンを許可」というグループポリシーです。

このGPOを利用すると、特定ホストにログオンできるユーザを制限することが出来ます。
設定の流れとしては下記のとおり。

STEP.1
OU作成
STEP.2
作成したOUへホストを移動
STEP.3
GPO作成、適用

GPOで特定ホストにログオンできるユーザを制限する方法

OU作成

アクセス制限をかけたいホストを格納するOUを作成します。
ここでは「Servers」というOUを作成しました。

コンピューターアカウントの移動

制限をかけたいコンピューターアカウントを作成したOU「Servers」へ移動させます。

GPO作成

ホストにログオン出来るユーザを制限するため、「ローカルログオンを許可」のGPOを設定します。

[コンピューターの構成] – [ポリシー] – [Windowsの設定] – [セキュリティの設定] – [ユーザー権利の割り当て] – [ローカルログオンを許可]

ローカルログオンを許可のプロパティを開き、ログインさせたいユーザもしくはグループを追加します。(ここでは「ServerAdmin」追加)

注意:Administratorsグループは必ず追加すること

作成したGPOをOUに適用させます。

これでOU下のコンピューターアカウントへのローカルログオンは制限されます。

アクセス制限の確認

ローカルログオンを許可したユーザもしくはグループに所属するユーザしか、ホストへアクセス出来ないことを確認します。

「このサインイン方法は利用できません。詳しくは、ネットワーク管理者に問い合わせてください。」
と表示されれば、アクセス制限は効いています。

なお、今回の手順はあくまでローカルログオン(コンソールログオン)を制限するだけでリモートデスクトップは別途制限をかける必要がありますので悪しからず。。。


ローカルログオンを許可のGPOを利用すれば、ホストへアクセス出来るユーザを制限することが出来ます。
覚えておいてください。

以上、あいしんくいっとでした。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

*

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)