Windowsでは、ユーザーのログオン認証を行っているドメコンが停止した場合でもドメインユーザーでログインが可能な仕様になっています。要するにLANケーブルが抜けてもログイン可能なわけです。ただ、ADと繋がっている時だけログオンできる状態の方がセキュリティレベルが高くなることからログオン情報のキャッシュを無効にするケースがあります。本記事ではGPOでログオン情報のキャッシュを無効にする方法を解説します。
グループポリシー(GPO)の作成と適用手順
「グループポリシーて何?」という方は「グループポリシーの作成と適用手順」Active Directoryをフル活用して端末を完全制御しちゃおう!!で細かい説明をしていますのでご参照ください。実例を用いて説明をしていますので、全くの初心者でもグルーポプリシーが自由に扱えるようになります。
「対話型ログオン:キャッシュする過去のログオン数」を有効にする
グループポリシー管理エディターから、以下のパスにある「対話型ログオン:キャッシュする過去のログオン数(ドメイン コントローラーが使用できない場合」を開いてください
コンピューターの構成>ポリシー>Windowsの設定>セキュリティの設定>ローカルポリシー>セキュリティオプション
「このポリシーの設定を定義する」にチェックを入れてください。
フォームに0を入力してください。これでログオン情報はキャッシュされません。
ちなみに、最大で50履歴をキャッシュできるようです。
<説明>
一意なユーザーのログオン情報をそれぞれローカルにキャッシュし、その後のログオン試行中にドメイン コントローラーが使用できない場合でもログオンできるようにします。キャッシュされるログオン情報は過去のログオン セッションから保存されます。ドメイン コントローラーが使用できない場合、ユーザーのログオン情報がキャッシュされていないと、ユーザーに次のようなメッセージが表示されます。
現在、ログオン要求を処理できるログオン サーバーはありません。
このポリシーに 0 を設定すると、ログオン情報はキャッシュされません。50 より大きな値を設定しても、キャッシュされるログオン試行情報は 50 回までです。Windows では、最大 50 のキャッシュ エントリをサポートし、各ユーザーによって使用されるエントリの数は、資格情報によって異なります。たとえば、Windows システムではユーザーごとに最大 50 の一意のパスワードをキャッシュできますが、スマート カードのユーザー アカウントの場合は、パスワード情報とスマート カード情報の両方が保存されるため、25 のスマート カード ユーザー アカウントしかキャッシュできません。キャッシュされたログオン情報を持つユーザーがもう一度ログオンすると、ユーザーの個々のキャッシュ情報が置き換えられます。
ログオン情報のキャッシュが保存されていないか確認するためログオンしてみます。成功です。
現在、ログオン要求を処理できるログオン サーバーはありません
コメント
コメント一覧 (1件)
[…] GPOでログオン情報のキャッシュを無効にする方法|ADと疎通不可の場合はログオン不可にする […]