パソコンの友達

Active Directoryでユーザーのログオン時間を設定する方法

企業の労働時間ポリシーを強制するため、または非勤務時間中は脅威の行為者がログオンできないようにしてセキュリティを強化するためなど、さまざまな理由から、管理者はActive Directoryで特定の日または時間帯についてユーザーのログオン時間を設定または制限できます。この投稿では、このタスクを実行する方法についてステップバイステップの手順を紹介します。

ユーザーのログイン時間が設定されている場合、ユーザーがログオン拒否時間帯にWindowsマシンにログオンしようとすると、上記の先頭画像に示されているように、ログイン画面に次の通知が表示されます。

アカウントに時間制限が設定されているため、この時点でサインインできません。しばらくしてから再試行してください。

Active Directoryでユーザーのログオン時間を設定する方法

組織のIT管理者は、管理者から正式な確認を受け、ポリシーを有効にする前にユーザーにログオン時間の制限について事前に通知したことを条件として、Active Directoryでユーザーのログオン時間を設定または制限できます。

このトピックについては、以下の小見出しで説明します。

  1. 単一ユーザーのログオン時間を設定する
  2. ユーザーグループのログオン時間を設定する
  3. ログオン時間が期限切れになったときにユーザーを切断する

アカウントに時間制限が設定されているため、この時点でサインインできません

1] 単一ユーザーのログオン時間を設定する

画像は、日曜日から土曜日までの午前11時~午後9時と日曜日から土曜日までの午前0時~午前9時を、ユーザーがログオンできない時間帯と、ネットワークドメインでログオンが許可されている時間帯として示しています。

Active Directoryで単一ユーザーのログオン時間を設定するには、次の手順を実行します。

  • Active Directoryユーザーとコンピューター(ADUC)を開きます。
  • ADUCで、制限を構成するユーザーアカウントを右クリックします。
  • コンテキストメニューからプロパティを選択します。
  • 次に、プロパティページのアカウントタブをクリックします。
  • ログオン時間ボタンをクリックします。

許可または拒否時間帯を示す画面が表示されます。許可色はで表示され、拒否色はで表示されます。

  • 次に、ログオン拒否オプションのラジオボタンをクリックします。
  • 今度は、カーソルを日と時間を示す小さなボックスにドラッグするか、各ボックスを個別に選択します。
  • 完了したらログオン許可をクリックします。
  • 次に、ログオン許可オプションのラジオボタンをクリックします。
  • 今度は、ログオンを拒否する期間にカーソルをドラッグします。
  • 完了したらログオン拒否をクリックします。

2] ユーザーグループのログオン時間を設定する

Active Directoryでユーザーグループのログオン時間を設定するには、次の手順を実行します。

  • 組織単位(OU)を作成し、一意でわかりやすい名前を付けます。
  • 次に、すべてのユーザーを作成するか、このOUコンテナーに移動します。
  • 今度は、CTRL + A を押してOU内のすべてのユーザーを選択します。
  • 強調表示されたユーザーを右クリックしてプロパティを選択します。
  • 次に、アカウントタブをクリックします。
  • ログオン時間オプションにチェックマークを付けます。
  • ログオン時間ボタンをクリックします。
  • ログオン時間ページで、要件に応じてユーザーグループのログオン時間を制限できます。

3] ログオン時間が期限切れになったときにユーザーを切断する

さらに、以下の手順を実行して、ログオン時間が期限切れになったときに既にログインしているユーザーを切断するグループポリシーを構成できます。GPOは、ユーザーを含むOUに割り当てる必要があります。ポリシーがアクティブになると、ログオン時間が期限切れになったときにユーザーは切断されます。

  • グループポリシー管理コンソール(gpmc.msc)を開きます。
  • グループポリシーオブジェクトを右クリックし、新規をクリックして新しいGPOを作成します。
  • GPOにわかりやすい名前を付けます。
  • 新しいGPOを右クリックして編集をクリックします。
  • 次に、以下のパスに移動します。

コンピューターの構成 > ポリシー > Windowsの設定 > セキュリティの設定 > ローカルポリシー > セキュリティオプション

  • ポリシーペインで、Microsoftネットワークサーバー: ログオン時間が期限切れになったときにクライアントを切断するポリシーをダブルクリックしてプロパティを編集します。
  • セキュリティポリシーの設定をクリックします。
  • このポリシー設定を定義するチェックボックスにチェックマークを付けます。
  • 有効のラジオボタンを選択します。
  • OKをクリックします。

以上です。

ドメインユーザーのログオン時間とログオフ時間を追跡するにはどうすればよいですか?

このタスクを実行するには、GPMCで以下のパスに移動します。

コンピューターの構成 >ポリシー >Windowsの設定 >セキュリティの設定 >詳細監査ポリシーの構成 >監査ポリシー >ログオン/ログオフ。

場所に応じて、要件に応じて関連する監査ポリシーを構成して、ユーザーのログオンとログオフを追跡します。式ベースの柔軟なルールを使用してログオン時間の制限を設定すると、ユーザーアクセスは指定された時間帯中に公開されたリソースに制限されます。

PowerShellでユーザーのログイン時間を取得する方法

PowerShellでユーザーの最後のログイン履歴を取得するには、Get-Eventlogコマンドレットを使用してドメインコントローラーのイベントログからすべてのイベントを取得できます。イベントIDでイベントをフィルタリングし、ユーザーがドメインで認証された時間とログオンに使用されたコンピューターに関する情報を表示できます。古いアカウントの最後のログオンタイムスタンプを調べるには、PowerShellで以下のコマンドを実行します。

Get-ADUser -Identity "UserName" -Properties "LastLogonDate"
2024-01-25 22:19 ユーザーアカウント

コメントする