Windows AD ドメイン参加者以外にもプリンタサービスを提供する場合に、やむを得ずデフォルトでは無効になっている Guest アカウント を有効にすることが有りますが、この時このアカウントには ローカルログオン 権限を与えないよう、適切に設定する必要が有ります。
ただ単に Guest アカウントを有効にしただけの状態では、ログイン時に素敵な裏口が出来てしまいます。
Guest アカウントにはローカルログオン権限を与えないようにするには、ローカルセキュリティポリシーを設定する必要があります。
( Security Settings –> Local Policies –> User Rights Assignment –> Deny log on locally )
ドメイン参加機では、グループポリシーからまとめて設定が出来ます。
( Computer Config. –> Policies –> Local Policies / User Rights Assignment –> Deny log on locally )
以上のように適切に設定することで、ログオンスクリーンの穴は修復されました。