セキュリティを向上させる1つの方法として、Active Directoryでコンピュータのログオン制限を設定することができます。この記事では、特定のユーザーに対してログオンできるコンピュータを制限する手順を説明します。
環境
ドメイン環境(ドメイン名:hirotanoblog.local)に、Windows10端末が2台(WIN10-1、WIN10-2)がドメイン参加しています。あらかじめ作成しているユーザ(高橋三郎 HIROTANOBLOG\takahashis)は、WIN10-1へのログオンのみが許可されるものとします。
特定のユーザーに対するコンピュータのログオンを制限
特定のユーザーに対してログオンできるコンピュータを制限する手順を確認します。
ドメインコントローラで「サーバーマネージャ」を開き、「Active Directory ユーザーとコンピューター」スナップインを開きます。
ログイン制限を設定するユーザーが含まれる組織単位やコンテナに移動します。今回は、営業部OUに所属するユーザー(高橋三郎 HIROTANOBLOG\takahashis)が制限対象のユーザーです。
ユーザーを右クリックし、「プロパティ 」を選択します。
「アカウント」タブを選択し、「ログオン先」を選択します。
「次のコンピューター」を選択し、ユーザーがログオンを許可されるコンピュータの名前を入力します。今回、ユーザーへ許可する端末は「WIN10-1」とします。「追加」をクリックします。
リストにコンピューターが登録されます。「OK」をクリックし、変更を保存します。
「適用」後、「OK」をクリックします。
以上の手順で、特定のユーザーに対してコンピューターのログオン制限を設定することができます。これは、一時的なユーザーなど、特定のコンピュータのみにアクセスを制限したい場合に特に有効です。
コンピュータのログオン制限は、ネットワークのセキュリティを向上させるのに有効ですが、それだけでセキュリティ対策を行うべきものではないことに留意する必要があります。強力なパスワードや定期的なアップデートなど、他のセキュリティ対策も実施し、ネットワークのセキュリティをさらに強化する必要があります。
ログイン制限の動作確認
制限したユーザー(高橋三郎 HIROTANOBLOG\takahashis)に対してコンピューターへのログオン制限を設定した後、制限が意図したとおりに機能していることを確認します。
制限されたユーザーで、サインインが許可されていないコンピューター(例えば、WIN10-2)にログオンしてみます。ログオンしようとすると、指定されたコンピューターへのサインインが許可されていないことを示すメッセージ(このアカウントでは、このPCを利用できません。別のPCを使ってください)が表示されます。
ユーザーがサインインを許可されているコンピューター(WIN10-1)にはログオンが成功します。コンピュータのログオン制限が意図したとおりに機能していることが確認できました。
コメント