アクティブディレクトリー【AD】のグループポリシー【ログオンスクリプト】で資格情報を消すコマンド【cmdkey】が動かなくてハマった件

050-VBA

へっぽこヘタレシステム管理者の管理人です。

さて、職場のパソコン更新時において・・・

端末設定の段階で、パソコンにサーバーへの管理者権限の資格情報が保存されていたことが判明し、

その対応で奔走した件を忘備録として掲載しておきます。

原因は・・・

単純に端末の購入・設定・配布を受託した業者のヒューマンエラーでした。

資格情報が保存されたままになっているパソコンの台数は特定不可・・・

多いか、少ないかも分からない・・・

サーバーのOSレベルでは、アクセス情報は記録されませんので・・・

とにかく、全クライアントの保存されている資格情報を消すこととしました。

全台、アクティブディレクトリーに参加しているので・・・

単純にグループポリシーのログオンスクリプトでバッチを走らせれば良いと考えていたのですが・・・

これがかなり苦戦したところです。

バッチファイルの内容

バッチファイルの内容は板って簡単です。

@echo off

cmdkey /delete:NNN.NNN.NNN.NNN

exit

たったこれだけです。

これをアクティブディレクトリーのグループポリシーに設定して終了・・・

だと思い・・・

グループポリシーの設定

ユーザーの構成 → ポリシー → Windowsの設定 → スクリプト(ログオン/ログオフ)

に設定したのですが、何故か動かない・・・

何をやっても動かない・・・

端末にバッチファイルを保存して実行すると動きます・・・

といことで、原因が分からずに・・・

数時間浪費し・・・

最終的には・・・

ユーザーの構成 → 管理用テンプレート → システム → ログオン → ユーザーのログオン時に実行するプログラムを指定する

に設定してなんとか動きました。

スポンサーリンク

ちなみに・・・

スポンサーリンク

ログオンスクリプトの保存先

バッチファイルの保存先は・・・

ドメインコントローラーの

C:\Windows\SYSvol\sysvol\domain.com\scripts

ブログランキングにご協力ください!
ブログランキング・にほんブログ村へ

です。

アクセスログ

アクセスログについては・・・

サーバー側で

ローカルポリシー → 監査ポリシー → オブジェクトアクセスの監査

を設定してあれば保存されるようですが・・・

デフォルトでは設定されていませんでした。

しかし、なんとかして実害がないか追跡調査をする必要があるのですが・・・

どうにかしてアクセスログを取れないかと調べたところ・・・

サーバー側ではありませんが、クライアント側の・・・

C:\Users\manager\AppData\Local\Microsoft\Windows\History

内に、3週間前までは、履歴として保存されていることが判明し・・・

資格情報が残っていると判明した端末に関しては、なんとか調査できそうなことが分かりました。

ブログ開設に必要なドメイン取得、サーバーレンタル、ASPの登録等は、こちらのサイトから!

コメント

タイトルとURLをコピーしました