AD参加時にローカルアカウントを無効化したい

クライアントPCはWinXPです（今後Win7に変わる予定です）

例えば、ローカルアカウント「TEST」（管理者権限あり）でPCを設定したとします。
そののち、ドメインアカウント「ADUSER1」でActiveDirectoryに参加します。
その際に、ローカルアカウント「TEST」を無効化したいのですが、
ADポリシーで実施可能でしょうか。

どうぞよろしくお願いいたします。

No.4 ベストアンサー 回答者： maesen 回答日時： 2011/12/21 15:48

No3です。

補足します。

＞「TEST」の名称とそのパスワードは決まった名前なのですが、ローカルアカウントとして存在しているPCといないPCが混在しています。

net userコマンドのバッチにした場合、スタートアップスクリプトに設定したそのバッチファイルがエラーで終了するだけで、PCを使用する側からはこれらのバックグラウンドで起きていることは見えません。

net userコマンドがエラーで終わることに抵抗がなければ、「TEST」が存在するしないにかかわらずnet userコマンドのバッチをスタートアップスクリプトで実行しても実害はないです。

「TEST」ユーザーの存在チェックをして存在する場合は無効にするというスクリプトのほうがより良いとは思います。

この回答へのお礼

重ねての回答有り難うございました。
だいぶ運用イメージが掴めました。

お礼日時：2011/12/27 15:58

No.3 回答者： maesen 回答日時： 2011/12/21 08:50

＞例えば、ローカルアカウント「TEST」（管理者権限あり）でPCを設定したとします。

この例ではローカルに「TEST」というユーザーアカウントになっていますが、無効化したいユーザーアカウントは名前が決まっていてのでしょうか？

名前が決まっているのであれば、net userコマンドでそのアカウントを無効にするバッチを作成して、スタートアップスクリプト（ログオンじゃないよ）で実行するようなグループポリシーを作成すればいいのではないかと。

名前が決まっておらず、また、PCによって無効化すべきユーザーアカウントの数も違うのであれば、現在のユーザー一覧を取得しそれを一つずつ無効化するような処理（必要ならば無効化しないユーザーは除外することも含め）をVBスクリプトなどで作成し、スタートアップスクリプトで実行するようなグループポリシーを作成すればいいのではないかと。

ポリシーの設定一つでローカルユーザーが全て無効になるような項目は無いはずですので、一つずつ処理していくような仕組みにしないといけないはずです。

スタートアップスクリプトの問題点はこのポリシーを適用している状態では常にスタートアップでこのスクリプトが実行されてしまうということです。
例外的に一部のPCのみ無効化をやめたい場合は、ADのOUからそのコンピュータアカウントを外すなどの処置をする必要があります。

この回答へのお礼

回答有難う御座います。
「TEST」の名称とそのパスワードは決まった名前なのですが、ローカルアカウントとして存在しているPCといないPCが混在しています。
ポリシーで任意のローカルユーザーを操作することはできないんですね。
スクリプトでならば解決できそうなので検討してみます。

お礼日時：2011/12/21 14:28

No.2 回答者： EF_510 回答日時： 2011/12/21 00:12

ポリシーを設定する場所はNo.1さんのところで良いですが、グループポリシーでも設定できます。

ただし、ローカルのWindowsをセーフモードで起動した場合にはどこでどんなポリシーを設定してもAdministratorは有効になります。

この回答へのお礼

回答有り難うございました。
「TEST」アカウントは、Administratorとは別に作成したアカウントです。
それでもグループポリシーで無効ができるのでしょうか？

お礼日時：2011/12/21 14:19

No.1 回答者： riveron77 回答日時： 2011/12/20 18:38

Domain Adminなユーザーでログインして↓をやる。

http://trendy.nikkeibp.co.jp/article/tec/winxp/2 …

ではダメですか？

この回答へのお礼

回答有難う御座います。
既に運用してしまっているPCのローカルアカウントも無効にしたかったので、PC側での作業は考えていませんでした。

お礼日時：2011/12/21 14:18