社内で開発を行っている会社があり、いくつかのサービスアカウントにアクセスできます。同社は人々を交代させ、アカウントを要求する代わりに、開発者はサービスアカウントを使用してサーバーにログオンしています。
サービスアカウントの目的に影響を与えることなく、そのアカウントを使用する機能をロックアウトするための最良の方法は何ですか?
ターミナルサービスプロファイルの下のADで、[このユーザーアクセスを拒否して任意のターミナルサーバーにログオンすることを禁止する]チェックボックスを安全に確認できますか?
そのOUにログインできないようにドメインポリシーを作成した場合、それがより良い方法でしょうか?
ローカルグループポリシー(gpedit.msc)で設定を作成して、これを実現できます。 Computer Configの下を見てください。 Windowsの設定|セキュリティ設定|ローカルポリシー|ユーザー権利の割り当て。必要なものは、バッチジョブとしてのログオンの拒否、ローカルでのログオンの拒否、およびターミナルサービスを介したログオンの拒否です。
ネットワークからこのコンピューターにアクセスするなど、ここで他の設定のいくつかを調整して、さらに強化することもできます。
言うまでもありませんが、これらの変更を1つずつ行い、サービスが正しく機能することをテストしてから、次の変更に進んでください。
実際には、はるかに簡単な方法があります。 Active Directoryを使用すると、ユーザーがログオンできるマシンを実際に指定できます。特定のユーザーがどのマシンにもログオンできないようにする場合は、ネットワークに存在しないマシンへのログオンをユーザーに許可するだけです。
IE:コンピューターがDT001、DT002、DT003の場合、ユーザーはDT000のみにログオンできます。