アカウントを無効にした後もネットワーク サービスにアクセスできる

この記事は、以前は次の ID で公開されていました: JP274064
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
現象
対話的にログオンしたユーザーが、そのユーザーのアカウントが無効にされた後でも、ネットワーク サービス (たとえば、リモート ファイル共有) に継続してアクセスできます。

[Enforce Logon Restrictions] 設定が無効になっている場合に、この現象が発生することが予想されます。しかし、[Enforce Logon Restrictions] が有効になっている場合でも、この現象が発生することがあります。
原因
この現象は、次の条件が該当する場合に発生することがあります。
  • アカウントが無効にされた時点で、ユーザーが既にネットワーク サービスに接続している。アカウントを無効にしても、既存のネットワーク サービス接続は切断されません (これは、Microsoft Windows NT 4.0 に該当する)。
  • ユーザーが、既にネットワーク サービスの Kerberos "サービス チケット" をキャッシュしている。この結果、ユーザーは、チケットの有効期限が切れるまで、認証され、サービスに再接続することができます。チケットのデフォルトの有効期限は、10 時間です。デフォルトの構成では、ユーザーが、10 時間以内にサービスに認証を試みた場合、こうしたチケットを保持できる場合があります。
  • ユーザーが、既に "TGT" (Ticket Granting Ticket) を保持しているため、ユーザーがサービス チケットを取得できる。[Enforce Logon Restrictions] 設定が有効になっている場合、ユーザーは、アカウントが無効にされた後、最大 20 分間サービスを取得できます。正確な時間は、アカウント情報の複製がすべてのドメイン コントローラに達するのにどのくらいの時間がかかるかによって異なります。[Enforce Logon Restrictions] 設定が無効になっている場合、ユーザーは、TGT の有効期限が切れるまでサービス チケットを取得できます。デフォルトの有効期限は、10 時間です。
状況

Windows 2000

この問題を解決するためのモジュールは、Windows 2000 日本語版 Service Pack 2 以降に含まれております。
Windows 2000 日本語版の最新 Service Pack については、以下 Web サイトから入手できます。
関連情報
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 274064 (最終更新日 2001-02-22) をもとに作成したものです。

プロパティ

文書番号:274064 - 最終更新日: 02/09/2014 17:11:38 - リビジョン: 2.0

  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • kbnosurvey kbarchive kbbug kbwin2000presp2fix kbpending KB274064
フィードバック