ドメインユーザを強制ログオフ

ADサーバ移行中、ある時点で確実にユーザにはログインし直してもらいたい、等の理由で強制ログオフさせたくなる時があります。

グループポリシーを適用することで決められた時間ではログイン出来ないようにはなる(ユーザ単位で指定可能)ものの、既にログインしているユーザを強制ログオフさせることは出来ません。

図1. 設定時間内ログオン禁止ポリシー

 

図2. ログオン許可・拒否時間帯の設定(ユーザ毎)

 

ではこの機能は一体何なのか。上記で設定した時間帯でログオフされるのは、ローカルPCのデスクトップではなくセッションであり、これによりネットワーク上のリソースが使えなくなるようです。
(ファイル共有や共有プリンタの類に加え、グループポリシーの更新も出来なくなります)

図3. ログオン禁止時間につき、ネットワークドライブが使えなくなったユーザ

 

合理的な落とし所を探っていたところ、「スクリーンセーバでロックアウトし、復帰をパスワード保護する」というのが。
どうやらこれが現実的な打開策になりそうです。かなり玉串色ですが、現時点では最も平和な解決策。

図4. パスワード保護スクリーンセーバによる画面ロック設定

 

と、ここまで仕込んだところでAD移行作業の過渡期にある現場から不具合の声。泥臭い方法でお昼に完全移行となり、今回の素敵な方法が日の目を見ることは無くなりました。

 

参考)
Force User Log Off (RDS, Server 2008)
ネットワークセキュリティ:ログオン許可時間を過ぎたユーザは強制的にログオフ
(ActiveDirectory)画面ロックを強制する

投稿者: ServerCan

香港在住の日本人技術者です。技適が無いのでのびのび創作しています。 twitter: @ryan_j23 Mastodon: servercan@servercan.xyz

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA