ドメインユーザを強制ログオフ

公開 | 更新 

Windows AD サーバ移行作業中に、ある時点で確実にユーザにはログインし直してもらいたい、等の理由で 強制ログオフ させたくなる時があります。 グループポリシー をいくつか組み合わせて実装することで、サーバサイドで完結する方法を考察してみます。

グループポリシーを適用することで決められた時間ではログイン出来ないようにはなる(ユーザ単位で指定可能)ものの、既にログインしているユーザを強制ログオフさせることは出来ません。

図1. 設定時間内ログオン禁止ポリシー

図1. 設定時間内ログオン禁止ポリシー

 

図2. ログオン許可・拒否時間帯の設定(ユーザ毎)

図2. ログオン許可・拒否時間帯の設定(ユーザ毎)

 

ではこの機能は一体何なのか。上記で設定した時間帯でログオフされるのは、ローカルPCのデスクトップではなくセッションであり、これによりネットワーク上のリソースが使えなくなるようです。
(ファイル共有や共有プリンタの類に加え、グループポリシーの更新も出来なくなります)

図3. ログオン禁止時間につき、ネットワークドライブが使えなくなったユーザ

図3. ログオン禁止時間につき、ネットワークドライブが使えなくなったユーザ

 

合理的な落とし所を探っていたところ、「スクリーンセーバでロックアウトし、復帰をパスワード保護する」というのが。
どうやらこれが現実的な打開策になりそうです。かなり玉串色ですが、現時点では最も平和な解決策。

図4. パスワード保護スクリーンセーバによる画面ロック設定

図4. パスワード保護スクリーンセーバによる画面ロック設定

 

と、ここまで仕込んだところでAD移行作業の過渡期にある現場から不具合の声。泥臭い方法でお昼に完全移行となり、今回の素敵な方法が日の目を見ることは無くなりました。

 

参考)
Force User Log Off (RDS, Server 2008)
ネットワークセキュリティ:ログオン許可時間を過ぎたユーザは強制的にログオフ
(ActiveDirectory)画面ロックを強制する

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA