Active Directoryでコンピューターを無効にしても、ドメインアカウントにログインできますか?
ADでコンピューターアカウントを無効にした場合、このコンピューターを使用してドメインにログインできないはずですか?
これをテストしました。コンピューターをドメイン(Windows 10)に参加させ、コンピューターアカウントを無効にしてクライアントマシンを再起動し、ドメインユーザーアカウントでコンピューターにログインしようとしましたが、機能しました。
コンピューターアカウントが無効になっているため、有効なユーザー資格情報でログインしている場合でも、無効になっているコンピューターを使用してログインすることはできません。
コンピューターがネットワーク上にない場合は、ADに連絡して更新情報を取得できないため、資格情報がキャッシュされているなどの理由でドメインユーザーとしてログインできます。
コンピュータの再起動、コンピュータアカウントのリセット、無効化/有効化などを試みました。どういうわけか、このコンピュータを使用してドメインにログインできます!!
私が欲しいのは、コンピュータアカウントが無効になっていて、そのコンピュータを使用してドメインに誰もログインできない場合です。
これは、LastLoginの日付が90日より古いコンピュータを無効にすることでActive Directoryコンピュータをクリーンアップしたいという考えです。これを行うと、無効にしたコンピュータが接続されていたことが確実になります。実際のコンピューターアカウントが無効になっているため、有効なドメインユーザー資格情報でログインしようとしても、ログインできないというネットワークに戻ります。
Active Directoryでコンピューターを無効にすると、基本的にはコンピューターアカウントが無効になります。コンピューターが認証要求を無効にしたドメインコントローラー以外のドメインコントローラーに渡しており、その情報はまだ複製されていないようです。
また、Active Directory自体に何らかの大きなレプリケーションの問題がある可能性もありますが、投稿の情報から判断するのは困難です。
編集:キャッシュされた資格情報を無効にするというRyanの提案。これはグループポリシーのオプションです。
コンピュータの構成-> Windows設定->セキュリティ設定->ローカルポリシー->セキュリティオプション-> インタラクティブログオン:キャッシュする以前のログオン数
(再起動またはgpupdate /forceを有効にしてください。)