PassageインストールPCへのログオンユーザーを制限する方法はありますか?

掲載日: 2017年01月30日 16時29分

対象バージョン

すべてのバージョン

概要

ADサーバーのグループポリシー設定から「ローカルログオンを許可する」を利用することで、PassageインストールPCにログオンするユーザーを制限することが可能です。
詳細は以降の手順をご確認ください。

作業環境

・ADサーバー
・PassageインストールPC

作業要件

ADサーバーでの作業を管理者権限を有するユーザーで実行できること。

注意事項

・本手順により「ローカルログオンを許可する」の設定が適用されたPCは、以下ユーザーのみログオンが可能となります。

 - Passageのセキュリティグループに含まれたドメインの一般ユーザー
 - ローカルのAdministratosグループ、Domain Adminsグループに所属する管理者ユーザー

 下記ユーザーはログオン時に制限が掛かり、ログオンが出来なくなりますのでご注意下さい。

 - Passageのセキュリティグループに含まれていないドメインの一般ユーザー
 - ローカルのUsersグループにのみ所属する一般ユーザー

設定手順

1.Passage利用者用のセキュリティグループを作成します。

  ADサーバーへ管理者権限でログオンし、Passageの利用者のみのセキュリティグループを作成します。

  [1]. Active Directory ユーザーとコンピューターを起動します。

     Windows Server 2008の場合
     [スタート]-[管理ツール]-[Active Directory ユーザーとコンピューター]を起動します。

     Windows Server 2012/2012R2の場合
     サーバーマネージャーを起動し[ツール(T)]-[Active Directory ユーザーとコンピューター]を起動します。

  [2]. 左のペインから[Users]を右クリックし[新規作成(N)]-[グループ]を選択します。
  [3]. 任意のグループ名を入力し、その他の設定は既定値のまま[OK]を選択します。

     グループ名:psggroup
     グループ名(Windows 2000より前):psggroup
     グループのスコープ:グローバル
     グループの種類:セキュリティ

  [4]. 左のペインから[Users]を選択し、前の手順で作成したセキュリティグループをダブルクリックします。

  [5]. プロパティ画面から[メンバー]タブを選択し[追加(D)]を選択します。

  [6]. [詳細設定(A)]-[検索(N)]を選択し、検索結果の一覧からPassageの利用者のみを選択し[OK]-[OK]を選択します。

  [7]. プロパティ画面の所属するメンバーにPassageの利用者のユーザーアカウントのみが表示されていることを確認し、
    [適用(A)]-[OK]を選択します。
     画面は閉じずに次の手順に進みます。

2.PassageインストールPCのみを含むOUを作成します。

  [1]. [Active Directory ユーザーとコンピューター]の左のペインからドメイン名を右クリックし[新規作成(N)]-[組織単位(OU)]を選択します。

  [2]. 任意の名前を入力し[OK]を選択します。

     名前:Passage

  [3]. 左のペインのドメイン名に紐付く形でOUが作成されたことを確認し[Computers]を選択します。

  [4]. PassageインストールPCのみを選択し、作成したOUへドラッグ&ドロップします。

     ※移動時にメッセージが表示された場合は「はい(Y)」を選択します。

  [5]. 作成したOUにPassageインストールPCのみが表示されていることを確認し、右上の[×]ボタンを選択し画面を終了します。
     次の手順に進みます。

3.作成したOUにグループポリシーを適用します。

  [1]. グループポリシーの管理を起動します。

     Windows Server 2008の場合
     [スタート]-[管理ツール]-[グループ ポリシーの管理]を起動します。

     Windows Server 2012/2012R2の場合
     サーバーマネージャーを起動し[ツール(T)]-[グループ ポリシーの管理]を起動します。

  [2]. 左のペインから前述の2.の手順で作成したOUを右クリックし[このドメインに GPOを作成し、このコンテナーにリンクする(C)]を選択します。

  [3]. 任意の名前を入力し[OK]を選択します。

  [4]. OU配下に作成されたGPOを右クリックし[編集(E)]を選択します。

  [5]. グループポリシー管理エディターから[ローカルログオンを許可]をダブルクリックします

コンピューターの構成

-ポリシー

-Windowsの設定

-セキュリティの設定

-ローカル ポリシー

-ユーザー権利の割り当て

-ローカルログオンを許可

  [5]. [これらのポリシー設定を定義する(D)]にチェックします。
     [ユーザーまたはグループの追加(U)]-[参照(B)]-[詳細設定(A)]-[検索(N)]を選択し、
    前述の1.の手順で作成したセキュリティグループを選択し[OK]-[OK]を選択します。

     ※既定で「Administrators」や「Users」が設定されておりましたら「Users」のみ削除します。

  [6]. ローカル ログオンを許可のプロパティには「追加したセキュリティグループ」と既定の「Administrators」のみであることを確認し、
    [適用(A)]-[OK]を選択します。

  [7]. 右上の[×]ボタンを選択し画面を終了します。
     次の手順に進みます。

4.ログオンユーザーの制限状態の確認

  PassageインストールPCを再起動し、ログオン可能なユーザーが前述の1.の手順で作成したセキュリティグループに所属する
  一般ユーザー、管理者ユーザーのみであることを確認します。