へっぽこヘタレシステム管理者の管理人です。
さて、職場のパソコン更新時において・・・
端末設定の段階で、パソコンにサーバーへの管理者権限の資格情報が保存されていたことが判明し、
その対応で奔走した件を忘備録として掲載しておきます。
原因は・・・
単純に端末の購入・設定・配布を受託した業者のヒューマンエラーでした。
資格情報が保存されたままになっているパソコンの台数は特定不可・・・
多いか、少ないかも分からない・・・
サーバーのOSレベルでは、アクセス情報は記録されませんので・・・
とにかく、全クライアントの保存されている資格情報を消すこととしました。
全台、アクティブディレクトリーに参加しているので・・・
単純にグループポリシーのログオンスクリプトでバッチを走らせれば良いと考えていたのですが・・・
これがかなり苦戦したところです。
バッチファイルの内容
バッチファイルの内容は板って簡単です。
@echo off
cmdkey /delete:NNN.NNN.NNN.NNN
exit
たったこれだけです。
これをアクティブディレクトリーのグループポリシーに設定して終了・・・
だと思い・・・
グループポリシーの設定
ユーザーの構成 → ポリシー → Windowsの設定 → スクリプト(ログオン/ログオフ)
に設定したのですが、何故か動かない・・・
何をやっても動かない・・・
端末にバッチファイルを保存して実行すると動きます・・・
といことで、原因が分からずに・・・
数時間浪費し・・・
最終的には・・・
ユーザーの構成 → 管理用テンプレート → システム → ログオン → ユーザーのログオン時に実行するプログラムを指定する
に設定してなんとか動きました。
ちなみに・・・
ログオンスクリプトの保存先
バッチファイルの保存先は・・・
ドメインコントローラーの
C:\Windows\SYSvol\sysvol\domain.com\scripts
です。
アクセスログ
アクセスログについては・・・
サーバー側で
ローカルポリシー → 監査ポリシー → オブジェクトアクセスの監査
を設定してあれば保存されるようですが・・・
デフォルトでは設定されていませんでした。
しかし、なんとかして実害がないか追跡調査をする必要があるのですが・・・
どうにかしてアクセスログを取れないかと調べたところ・・・
サーバー側ではありませんが、クライアント側の・・・
C:\Users\manager\AppData\Local\Microsoft\Windows\History
内に、3週間前までは、履歴として保存されていることが判明し・・・
資格情報が残っていると判明した端末に関しては、なんとか調査できそうなことが分かりました。
コメント