有効にした Guest アカウントにローカルログオン権限を与えない

図1. Guestアカウントを有効にするとログオンスクリーンにも出てくる

ドメイン参加者以外にもプリンタサービスを提供する場合に、やむを得ずデフォルトでは無効になっている Guest アカウントを有効にすることが有りますが、この時このアカウントにはローカルログオン権限を与えないよう、適切に設定する必要が有ります。

ただ単に Guest アカウントを有効にしただけの状態では、ログイン時に素敵な裏口が出来てしまいます。 

図1. Guestアカウントを有効にするとログオンスクリーンにも出てくる
図1. Guestアカウントを有効にするとログオンスクリーンにも出てくる

 

Guest アカウントにはローカルログオン権限を与えないようにするには、ローカルセキュリティポリシーを設定する必要があります。
( Security Settings –> Local Policies –> User Rights Assignment –> Deny log on locally )

図2. スタンドアロン機のローカルセキュリティポリシーで設定する場合
図2. スタンドアロン機のローカルセキュリティポリシーで設定する場合

 

ドメイン参加機では、グループポリシーからまとめて設定が出来ます。
( Computer Config. –> Policies –> Local Policies / User Rights Assignment –> Deny log on locally )

図3. ドメイン参加機をグループポリシーで設定する場合
図3. ドメイン参加機をグループポリシーで設定する場合

 

以上のように適切に設定することで、ログオンスクリーンの穴は修復されました。

図4. Guestアカウント消えたログオンスクリーン
図4. Guestアカウント消えたログオンスクリーン

 

投稿者: ServerCan

香港在住の日本人技術者です。技適が無いのでのびのび創作しています。 twitter: @ryan_j23 Mastodon: servercan@servercan.xyz

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA