web-dev-qa-db-ja.com

Active Directoryユーザーがインタラクティブにログインできるかどうかを確認する方法

Windowsドメイン で、ADユーザーがインタラクティブに(サーバーに)ログインできるかどうか、またどのようにしてログインできるかを知りたいのですが。

LDAP検索を使用して検索できるかどうかを知る必要があります。

4
Luigi

対話型ログオンを実行する機能は、移行先コンピューターのセキュリティポリシーによって制御されるため、LDAP検索では不十分です。

ポリシー自体(「対話型ログオンを許可する」)は、ドメインのグループポリシー(RSOPを使用して確認できますが、LDAPを使用しないで確認)で管理できますが、特定のコンピューターで手動で構成することもできます。また、対話型ログオンを実行する権限をユーザーまたはグループに割り当てることができるため、状況がさらに複雑になります。

つまり、誰がどこにログオンできるかを定義するために必要な設定が複数あります。あなたの質問に答える迅速で簡単で一般的な方法はありません。 RSOPはローカルポリシーではなくドメインポリシーのみをチェックできるため、ここでは少ししか役に立ちません。

5
Massimo

厳密にLDAP経由ですか?いいえ、できません。サーバーのグループポリシー設定は、アカウントがログインできるかどうかを制御でき、それらのポリシーにはLDAP経由でアクセスできません。

4
longneck

これはLDAP検索ではありません-直接ではありません-さまざまな設定が関係しています。

この設定は、GPOまたはローカルセキュリティポリシーのいずれかによって制御されます。

ローカルセキュリティポリシーを参照してください=>ローカルポリシー

さらに、これが機能します、2.1.1対話型ログオン認証

ユーザーは、ローカルログオンにはローカルユーザーアカウントを、ドメインログオンにはドメインアカウントを使用して、対話型ログオンを実行できます。対話型ログオンプロセスでは、ユーザーのローカルコンピュータのセキュリティアカウントデータベースを使用するか、ドメインのディレクトリサービスを使用して、ユーザーのIDを確認します。この必須ログオンプロセスは、ドメイン内のユーザーに対してオフにすることはできません。

4