有効にした Guest アカウントにローカルログオン権限を与えない

投稿者: | 2017年5月31日

Windows AD ドメイン参加者以外にもプリンタサービスを提供する場合に、やむを得ずデフォルトでは無効になっている Guest アカウント を有効にすることが有りますが、この時このアカウントには ローカルログオン 権限を与えないよう、適切に設定する必要が有ります。

ただ単に Guest アカウントを有効にしただけの状態では、ログイン時に素敵な裏口が出来てしまいます。 

図1. Guestアカウントを有効にするとログオンスクリーンにも出てくる

図1. Guestアカウントを有効にするとログオンスクリーンにも出てくる

 

Guest アカウントにはローカルログオン権限を与えないようにするには、ローカルセキュリティポリシーを設定する必要があります。
( Security Settings –> Local Policies –> User Rights Assignment –> Deny log on locally )

図2. スタンドアロン機のローカルセキュリティポリシーで設定する場合

図2. スタンドアロン機のローカルセキュリティポリシーで設定する場合

 

ドメイン参加機では、グループポリシーからまとめて設定が出来ます。
( Computer Config. –> Policies –> Local Policies / User Rights Assignment –> Deny log on locally )

図3. ドメイン参加機をグループポリシーで設定する場合

図3. ドメイン参加機をグループポリシーで設定する場合

 

以上のように適切に設定することで、ログオンスクリーンの穴は修復されました。

図4. Guestアカウント消えたログオンスクリーン

図4. Guestアカウント消えたログオンスクリーン

 

コメントを残す

メールアドレスが公開されることはありません。

CAPTCHA