Q

同じ部署内のメンバーで共用しているWindows XPマシンを自宅へ持ち帰ったところ,ドメインへのログオンを拒否されてしまいました。しかし共同で使用している他のドメイン・ユーザー・アカウントを使えばログオンが可能です。また,会社でネットワークに接続した状態であれば,ドメインへのログオンが可能です。いったいどういうことでしょうか。

A

Windows 2000/XPは,過去にドメインにログオンできたユーザーの資格情報(ドメイン・ユーザー・アカウント)をローカルにキャッシュしており,自宅などでドメイン・コントローラ(DC)と通信できない場合でも,そのキャッシュされた資格情報を用いてコンピュータにログオンすることが可能です。このキャッシュを使ったログオン後,そのPCがDCと通信可能になり,ドメイン・リソースへの接続要求を実行した時点でドメイン認証処理(ドメイン・ログオン)をバック・グラウンドで実行します。

 ただし,キャッシュされた資格情報を用いてローカル・リソースにアクセスできるユーザー数は無限ではありません。デフォルトで10個までと設定されています。つまり,マシンを同じ部署内のメンバーで共用している場合,11番目のユーザーのログオン情報はキャッシュには残りません。そのため,キャッシュによるローカルでの認証ができなくなるというわけです。

 キャッシュのユーザー数は,マイクロソフト管理コンソール(MMC)の[グループポリシー]スナップインから変更できます。まず,ローカル・コンピュータのMMCにて[グループポリシー]スナップインを追加します。この際,グループ・ポリシー・オブジェクトとして[ローカルコンピュータ]を指定します。次に,[コンピュータの構成]フォルダから[Windowsの設定]-[セキュリティの設定]-[ローカルポリシー]-[セキュリティオプション]を開きます。


△ 図をクリックすると拡大されます
図1●前回ログオン・アカウントのキャッシュの保存個数はデフォルトで10個

 ポリシーの一覧から[対話型ログオン:ドメインコントローラが利用できない場合に使用する,前回ログオンのキャッシュ数]の[セキュリティの設定]に設定された値がキャッシュの保存個数になります(図1)。値を「0」に設定すると,ログオン認証のキャッシュが無効となります。「50」以上の値を設定しても,キャッシュへの保存個数は50個までとなります。

 ただし,キャッシュの保存個数を増やすことは,不正なユーザーがPCに保存しているデータにアクセスする機会を多く与えることになり,セキュリティが低下するともいえます。

 この値を編集するときは会社のセキュリティ・ポリシーを十分考慮したうえで設定してください。キャッシュのユーザー数はドメインのグループ・ポリシーでも設定可能です。ドメインのグループ・ポリシーが設定されている場合,こちらのほうが,個々のローカル・グループ・ポリシーよりも優先的に有効になります。

 また,MMCを使用せずにレジストリを直接編集しても,同様に設定が可能です。レジストリ・キーHKEY_LOCAL_MACHINE\SOFTWARE
\Microsoft\Windows NT\CurrentVersion\Winlogonのcachedlogonscountに,文字列(REG_SZ)を設定すれば,キャッシュの保存個数を設定できます。

音喜多 朋子