Win2008server 同アカウントでログイン

お世話になります。

小さな企業で片手間でシステム管理者（名ばかりですが）をやっております。
本来の業務が別なこととトラブル対応が頓挫だったことから社内サーバーをやめました。

大手クラウドサーバー（VPN)に切り替えてファイルサーバー、メールサーバー、DNSサーバー、DHCP等はパッケージで業者に依頼し、極力こちらでの管理を少なくしています。

マニュアルと格闘しながら何とかActiveDirectoryの運用も安定し、外部からVPNに接続できるモバイルカードも導入しました。

このモバイルカード導入後に問題が起こっています。

誤って社内有線LANとモバイルカードを同時接続する人がたまにいて、回線が一時的に落ちます。
また、社内でデスクトップでログインし、外部からノートPCで同アカウントでログインしようとするとやはり回線が落ちます。

有線とモバイルカードを同時接続しようとするのはなりすまし等のセキュリティの問題があるということで納得してもらったのですが、後記の複数PCを同アカウントでログインの何がいけないのかをよく説明できないで困っております。

ActiveDirectoryも購入した初心者向けの書籍通りの設定運用しかできておりませんので、こちらにも何か影響があるのでしょうか？

特殊な業界でクライアントと社内とを行き来するため、ログインしっぱなしでよければそれでいいじゃないかと言われました。
一応、素人ながらイベントログのチェックなどもしているため、そういう複雑な事はしたくないと伝えたのですが逆に怒られました。

詳しくはないのですが上層部がやりたいことはセキュリティによろしくない気がします。

まとめますと
(1)　複数PCに同じアカウントでログインしてはいけない理由
(2)　(1)をやることによって出るセキュリティの問題
(3)　同じく(1)をやることによって出るサーバーやActiveDirectoryへの影響

この３点をうまく説明できるサイトか、もしくは専門的なお答を頂けますでしょうか？

よろしくお願い致します。

No.2 ベストアンサー 回答者： maesen 回答日時： 2013/06/13 17:47

大変な環境を引き継いでしまったようでご苦労をお察しします。

ActiveDirectoryの移行及び運用に問題があるようなので出来れば正常化していきたいところです。
これを正常化しないとActiveDirectoryがActiveDirectoryとして十分に機能していないことになります。

＞『同時ログイン』がしたいとのことです。
＞つまり社内のデスクトップでログインしたまま、社外のノートPCでも同アカウントでログインしたいと。

この件については私の回答もことば足らずでしたが、同時にログオンしても全く問題は無いです。

＞ファイルサーバーのアクセス権が二重になるのでは？とか

こういうことはありません。

＞セキュリティ的に大丈夫なの？とか

セキュリティ上問題になるようなことはちょっと思いつきません。

＞そもそも出来るのそれ？

もちろん出来ます。


回線の話は状況はわかりました。
落ちる原因を調べるのにはもっと詳しい情報を聞かないといけませんが、このような場所では書けないことも多く出てくると思いますので難しいですね。

これについては利用者の意識を高めていくしかなさそうですね。

＞本末転倒ですが、ご指摘の通りシャットダウンしてから次のPCでログインしてくれれば済む問題です（トオイメ

先の回答でも触れましたが、これは電気代の方からアプローチしていくことができないですかね。
昔に比べれば省電力になったとはいえデスクトップのPCだとアイドリング時（ただ電源ONしているだけ）でも長い蛍光灯一本分（40W管）ぐらいは電力を消費します。
台数が多ければ馬鹿にならないです。
昼休みや人がいない場所の電灯は消しましょうなんていう取り組みをしているところが多いですから。

この回答へのお礼

二度目のご回答ありがとうございます。

ActiveDirectoryを正常化する事の方が先なようですね。
出来る事はわかりました。ただし正常化が絶対条件なので現時点では出来ない事と電気代で説得しようと思います。

また後出しで申し訳ないのですが、DNSの名前解決に問題が残っている状況です。
更に前任者の負の遺産の一つで指紋認証によるログオンとprofileによるマイドキュメントの同期プログラムの残骸が時々悪さをします。（デスクトップのアイコンが全部消えたり、勝手に並べ替えられたり、ファイルが古いものに書き変わったり等…）

強引に指紋認証のセキュリティプログラムを解約して某有名HDD暗号化ソフトに切り替えました。
指紋認証の相性が悪い人だと60回以上も指を滑らしてやっとこさ入れる状況だったりで効率も悪うございました。
指紋認証なのにHDDが暗号化されないセキュリティプログラムだったのも止めた原因の一つです。

ドが付くほどの素人ではありますが、いかに現場に迷惑を掛けず簡易で高セキュリティというのはなかなか難しいのを実感しております。

回線が落ちるのはおそらくですが、クラウドサービスの提供側のセキュリティだと思います。
充電にiPhoneを繋がれた時にも落ちましたから。（無線をOFFにしていれば落ちません）

色々とありがとうございました。

お礼日時：2013/06/14 12:54

No.3 回答者： pakuti 回答日時： 2013/06/14 16:53

後者と前者に大きな違いは無いと思われますが

同時にアクセスが行われると不正アクセスとみなす
それだけの事では無いですかね？

セキュリティとは関係はありませんが、フォルダーリダイレクト機能や
移動プロファイル機能を利用している場合で同時ログインを行うと
不具合が発生する可能性があります。
これに関してはいくつかの原因があるようですが、ネットワーク共有上の
ファイル操作時にキャッシュ機能を利用すると。。。などであったと記憶しています。
他にも色々とあり、ファイルへの変更が反映されない
ファイルが消えた　などの現象を耳にした覚えがあります。

どうしてもそのような運用をしたくないのであれば
運用ルールを変えるべく業者に変更依頼を行えば良い話なのではないかと思います。

質問者さんの話を聞く限り、そのクラウドに移行した事が問題のような
その環境/要望であれば、XenAPP等を利用した方が良くありませんか？

この回答へのお礼

ご回答ありがとうございます。
-----
移動プロファイル機能を利用している場合で同時ログインを行うと
不具合が発生する可能性があります。
-----

どうやら原因の一つのようです。

DELL製の社内サーバーが壊れてかなりの被害があった時にとにかく社外へ、業者へと動いてしまったので考証の時間がほとんどありませんでした。
ご紹介頂いたサービスも勉強したいと思います。

お礼日時：2013/07/17 11:02

No.1 回答者： maesen 回答日時： 2013/06/13 10:15

環境や運用がちょっと読み取れないので一般論的な回答です。

質問者さんが望んでいるのとは逆の回答になっているような気がします。

＞(1)　複数PCに同じアカウントでログインしてはいけない理由

理由はちょっと思いつきません。

ActiveDirectoryでユーザーを集中管理しているのであれば、ユーザーアカウントは人一人に対して1つだと思いますので
複数PCに同じアカウントを使用するのは一般的なことだと思います。

そうでなければ、誰が何をしたのかが追跡できませんし、人毎のアクセスコントロールも出来ないことになります。

＞(2)　(1)をやることによって出るセキュリティの問題

どのような運用が正しいと考えられているのかわからないのでなんともいえませんが、問題が出ることが思いつきません。

＞(3)　同じく(1)をやることによって出るサーバーやActiveDirectoryへの影響

影響があるとは思いません。
そもそもActiveDirectoryは(1)のように使われることを想定しているものです。


＞特殊な業界でクライアントと社内とを行き来するため、ログインしっぱなしでよければそれでいいじゃないかと言われました。

長時間離席する場合はシャットダウンするのが正しいと思います。
電気代等のコストにも影響します。

ログオン状態にするのならば、最低でも5～10分程度でコンピュータをロックする（パスワードを入力しないと操作できない状態）のが一般的だと思います。
ActiveDirectoryのメンバならばグループポリシーで強制できます。

あと、回線が落ちると何回か書かれていますが、ログオンすると回線が落ちるといるのはちょっと想像しにくいのでどんな状況なんだろというという疑問があります。

この回答への補足

回答ありがとうございます。

素人で説明がおぼつかなくて申し訳ありません。

（1）が完全に説明不足でした。
『同時ログイン』がしたいとのことです。
つまり社内のデスクトップでログインしたまま、社外のノートPCでも同アカウントでログインしたいと。

ファイルサーバーのアクセス権が二重になるのでは？とかセキュリティ的に大丈夫なの？とかそもそも出来るのそれ？とか思っているのですが私のスキルが不足しているので論理的に説明できないのです。

コンピュータのロックはHDDの暗号化ソフトを導入しており自動でかかります。
本来の業務が繁忙期に突入すると本当に手が回らないのでコスト度外視で高セキュリティで手がかからないものを導入しまくりました。

回線が落ちるというのはインターネットの接続を切られるという意味で使いました。
５分程ですが、社内のVPN用のターミナルから先に繋がらなくなります。（ゆえに実験したくないです）
serverのイベントログをみると私では読解不可能なログがたくさんできています。
ちょっと読める部分は有線LANと無線LANを繋いじゃった人のPC名がたくさん出てセッションが認証できないとかアクセスが拒否されたとかなんとかとか・・・。

本末転倒ですが、ご指摘の通りシャットダウンしてから次のPCでログインしてくれれば済む問題です（トオイメ

捕捉になりますが、あまりよろしくないサーバー移転をしたため本来のActiveDirectoryの使い方ができていません。
旧社内サーバーをロクにメンテナンスもせず、システム周りの勉強もしない前任者のずさんな管理で故障し投げ出したために私が引き継ぎました。
繁忙期だったこともあり、旧社内サーバーのドメインをそのままクラウドに移管しました。
アカウント名は同じですが、コンピュータをドメイン参加し直していないので・・・。ログイン時に回線を切ってログイン→回線に接続するとアカウント名で認証を取ってファイルサーバーやインターネットに接続という大変よろしくない運用をしております。

付け焼刃ですが色々整備していかないといけないので頑張りたいと思います。
お知恵を拝借できれば幸いです。

よろしくお願い致します。

追伸：もう少し売上をあげて引っ越しができれば社内SEを絶対に入れたいと思います（涙目

補足日時：2013/06/13 12:28