Active Directoryのユーザーを無効にしてもアカウントが使用できてしまう

Question

Active Directory上でユーザー(Domain Users)を作成し、ドメイン参加PCにてユーザの追加⇒ドメインアカウントの追加⇒アクセスレベルを管理者に設定していました。

ソフトウェアのインストール等、管理者権限が必要な場合にこちらを使用していたのですが使用を停止する必要があり、AD上でユーザーを無効に設定しましたがID,PWを入力するとこれまで通り使用できてしまいました。

こちらユーザー無効をすぐに反映する方法があればご教授願います。

また、以下の通り　検証した結果、管理者権限が必要な「このアプリがデバイスに変更を加えることを許可しますか？」にドメインユーザのID、PWを入力するとADへの認証は行わず、キャッシュを参照して前回ログインして情報で認証できてしまうように思えましたがこちら対策等ございますでしょうか

■検証したこと

・ドメイン参加PCへ無効のアカウントでログインを試すと「このアカウントは無効になっています。」と表示される。

・ソフトウェアのインストール時に一度パスワードを間違えると「このアカウントは現在無効に設定されている」と表示されて、その後は正しいパスワードを入力しても認証できない。

・AD上で対象ユーザのパスワードを変更しても変更前のパスワードで認証できてしまう。

Answer 1

チャブーンです。

この件ですが、細かな説明がない要ですが、以下の状況なのかなと思います。

• クライアントPCはドメインに参加している
• ドメインアカウントでログオンしており、そのアカウントは「ローカルAdministrators」グループのメンバーである
• Active Directory側でドメインアカウントを無効にしたが、"ドメインからネットワークが切断されている場合" ドメインアカウントでのPCへのログオンやアプリケーションのインストールができてしまう

上記のとおり、Active Directory側でアカウントを無効にしても、ネットワークが切断されている場合「ローカル資格情報」という、PCに保存されたパスワードのキャッシュ情報で、ログオンできてしまいます。これはPCにある「過去データ」でのふるまいですから、ドメインコントローラーに再接続しない限り、最新化されません。またパスワードキャッシュ情報がある限り、(ネットワーク切断時に)ドメインアカウントのログオンをやめさせることもできません。

対応方法ですが、以下をとるとよいでしょう。

• グループポリシーの「対話型ログオン: キャッシュする過去のログオン数(ドメインコントローラーが使用できない場合)」を設定し、値を0にする

上記を行うことで、PC上の「ローカル資格情報」が保存されなくなります。そうすると、ログオンのたびにPCはドメインコントローラーにパスワードを確認に行き、その段階でアカウントの無効化が知らされて、ログオンができなくなります。要するに「過去データ」が存在しないので、直近の内容が適切に反映します。詳細については、したの資料をみるといいでしょう。

GPOでログオン情報のキャッシュを無効にする方法｜ADと疎通不可の場合はログオン不可にする | IT trip

また、パスワードの過去の情報が1時間ほど有効になってしまう、の点ですが、これは仕様によりそのように動作されています。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa!OldPasswordAllowedPeriod というレジストリを調整すれば、問題は解決します。詳細は以下をみるとよいでしょう。

https://learn.microsoft.com/ja-jp/troubleshoot/windows-server/windows-security/new-setting-modifies-ntlm-network-authentication?WT.mc_id=EM-MVP-8322

Answer 2

この応答は自動的に翻訳されています。 その結果、文法上の誤りや奇妙な言い回しが生じる可能性があります。

こんにちは 情報システムX、

マイクロソフト コミュニティ フォーラムに投稿していただき、ありがとうございます。

これは、Windows オペレーティング システムが最近のログインのユーザー資格情報をキャッシュするためです。ここでは、無効になっているユーザー アカウントがすぐに有効になり、キャッシュされた資格情報が使用されないようにするための解決策をいくつか紹介します。

1.グループポリシーの更新を強制します

ドメイン コントローラーで次のコマンドを実行して、すべてのドメイン コンピューターに最新のグループ ポリシー設定をすぐに適用します。

gpupdate /force

2.ローカルにキャッシュされた資格情報をクリアします

影響を受けるコンピューターでローカルにキャッシュされた資格情報をクリアします。これは、以下の手順に従って手動で行うことができます。

コマンドプロンプトを開きます(管理者として実行)。

次のコマンドを入力して、ローカルにキャッシュされた資格情報を削除します。

klist パージ

3. キャッシュされた資格情報の使用を禁止するグループ ポリシーの構成

ログオン時にキャッシュされた資格情報の使用を禁止するようにコンピューターを構成するには、グループ ポリシーを使用します。

グループ ポリシー管理コンソールで次のパスに移動します。

[コンピュータの構成] -[> Windows の設定] -[> セキュリティ設定] -[> ローカル ポリシー] -[> セキュリティ オプション] を選択します。

[セキュリティオプション]をクリックし、右側のウィンドウで[Ctrl + Alt + Del設定なし]、キャッシュ関連オプション、およびロックダウン情報を見つけて、必要な設定を行います。

よろしくお願いいたします

ノイヴィ・ジャン

Answer 3

チャブーン様

ご回答ありがとうございます。

アドバイスいただいた通り、下記の対応で想定通りの動きを確認することができました。

＞グループポリシーの「対話型ログオン: キャッシュする過去のログオン数(ドメインコントローラーが使用できな＞い場合)」を設定し、値を0にする

ちなみにオフラインの場合などにローカル資格情報を参照しに行くことは理解できるのですが今回は「"ドメインからネットワークが切断されている場合"」ではなく、通常通りADへの接続が可能な状態で発生しておりました。

こちらアカウント無効の場合にドメインアカウントでのPCへのログオンは失敗するのに対してアプリケーションのインストールができてしまうのは何か原因がありますでしょうか

Answer 4

チャブーンです。

こちらアカウント無効の場合にドメインアカウントでのPCへのログオンは失敗するのに対してアプリケーションのインストールができてしまうのは何か原因がありますでしょうか

これですが、ドメインアカウントでのPCログオンはできなくなった、と理解しています。で、アプリケーションのインストールの件ですが、ドメインアカウントでログオンができない状況下で、どのようにしてアプリケーションをインストールしているのか、具体的な操作を説明いただけますか？

• アプリケーションインストール時にログオンしているアカウントはなにか
• その際(ドメインコントローラーとの)ネットワークはつながっているのか
• アプリケーションをインストールする操作の内容(GUIなのかコマンドなのか、その他の方法ですか？)

Answer 5

チャブーン様

ご回答ありがとうございます。

説明が不足しており、申し訳ございませんでした。

こちらPCには一般のドメインアカウント(※user1)でログインしており、管理者権限が必要な作業(ソフトウェアインストールやユーザアカウント種類の変更等)を実施する場合は事前にユーザアカウントの追加にて別のドメインアカウント(※user9)を管理者で登録しており、そちらを使用しています。

※user1、user9はAD上ではDomain Usersになります。

• アプリケーションインストール時にログオンしているアカウントはなにか ⇒user1
• その際(ドメインコントローラーとの)ネットワークはつながっているのか ⇒ドメインコントローラーとのネットワークはつながっています。
• アプリケーションをインストールする操作の内容(GUIなのかコマンドなのか、その他の方法ですか？) ⇒手動でインストーラーのダブルクリックやコントロールパネル⇒アカウントの種類の変更等をクリックしています。 　「このアプリがデバイスに変更を加えることを許可しますか？」の画面にてuser9のユーザ名、パスワードを入力しています。

ドメインコントローラーとのネットワークはつながっている状態でuser1でログインし、キャッシュログオンではないことを確認しております。(コマンドwhoami　/fqdnにて確認)

その状態でも管理者権限が必要なユーザーアカウント制御画面にて無効に設定しているuser9の情報を入力すると認証されてしまいます。

以上、よろしくお願いいたします。