はじめに
社内で共有PCを運用していると、発生するのがアカウントロックのトラブルです。特にドメイン参加している環境では、前回使用者の認証情報がログイン画面に残っており、次の利用者が誤って自分のパスワードを入力してしまうことでアカウントロックが発生するケースが多くあります。
今回は、この問題を グループポリシー(GPO)で制御する方法 に切り替えて解決できないかと調査したものをまとめました。
課題
- OS起動時や再サインイン時、前回ログインしたユーザー名がログオン画面に残る。
- 別の利用者がそのままパスワードを入力してしまい、アカウントロックが発生する。
- 一度アカウントロックされると管理者対応が必要になり手間が増える。
グループポリシー(GPO)設定箇所
- コンピューターの構成>ポリシー>Windows の設定>セキュリティの設定>ローカル ポリシー>セキュリティ オプション
- 対話型ログオン: 最後にサインインしたユーザーを表示しない
- ローカルグループポリシー(ローカルセキュリティポリシー)でも設定可
結果
- OS起動時、前回ユーザーの情報が残らなくなった。
- アカウントロックの発生頻度を減らすことで管理者への負担がなくなる。
- 全台へのポリシー一括適用で、管理の統一性も確保。
共有PCは、複数人使用することが前提なので必ず事故は起こります。なので「便利さ(自動入力)」よりも「安全性(認証情報を残さない)」を優先するべきだと考えました。今回グループポリシーを活用することで、セキュリティと運用効率の両立を実現するができました。気になった方は試してみてください。
参考
- Windowsサインイン時に最終サインインユーザを表示しない
https://www2.filewo.net/wordpress/2024/11/17/3920/