2018年 03月 19日
ログオフなしでファイルサーバーとのセッションを切断するには-資格情報の削除
よくある話としては、管理者としてログインして、セキュリティの設定をして、うまく動いているか、別な一般ユーザーでログオンして確認をしたい、などのケースですね。
> net useして、生きているセッションを確認して> net use \\server\share /delete> net use \\server\ipc$ /delete
例えば NAS などに user-a でログインしたあと、ログアウトして、user-b でログインし直そうとすると、user-a のセッション情報がキャッシュされていて、ログインダイアログが出てこないで無認証で接続できてしまう。しかもそのセッションは > net use で表示されてもいないので、削除すらできない。サーバーが繋がったままではトイレもコーヒー買いにも行けない。かといってログオフしたくない。サインオフして、再ログインしないとセッションがクリアされない。
ネットワークに接続している全てのファイルを閉じて、エクスプローラも(出来れば)閉じておく。
> net use
で使用中のセッションを確認し
> net use \\server\share /delete
を実行した後
> klist purge
を行い、エクスプローラからネットワークの "\\server" をクリックすると、ログイン認証画面が出てくる事がある。これで成功か?
klist Kerberosチケットの表示/削除
> net use /delete しても、まだ資格情報を保持している場合があります。その場合は、資格情報を削除します。もし、ドライブマップしているなら、Windows10 のエクスプローラから、マップしているドライブを右クリックして「切断」します。お約束みたいなものです。
一旦エクスプローラを閉じます。これも一応お約束。
コントロールパネル > ユーザアカウント > 資格情報マネージャー > ”Windows 資格情報の管理” から、記憶されている接続サービスを選び「削除」
※ コントロールパネルが見えない Windows10 のバージョンの場合は...
隠れていないでコントロールパネルは出頭しなさい!
ログイン認証ダイアログが出ました。
NAS や Samba などに重要情報にアクセスする都度、パスワード認証させたい場合、グループポリシー(GPO)で、資格情報のキャッシュを禁止する事ができます。特に重要情報にアクセスする、経理とか人事管理、企業戦略担当などのユーザのPCはそうすべきでしょう。
C:\> gpedit
ローカルコンピュータ > コンピューター構成 > Windowsの設定 > セキュリティの設定 > ローカルセキュリティ > セキュリティオプション > 「ネットワーク アクセス: ネットワーク認証のためにパスワードおよび資格情報を保存することを許可しない」
を 「有効」にセット
「有効」にした後、gpupdate するか、再起動します。
C:\> gpupdateポリシーを最新の情報に更新しています...コンピューター ポリシーの更新が正常に完了しました。ユーザー ポリシーの更新が正常に完了しました。C:\>
資格情報マネージャが無効になります。
これで C:\> net use \\server\share /delete と C:\> klist purge で、接続しようとすると、認証ダイアログは出てきます。が、「資格情報を記憶」をチェックしても保存されません。
また、再ログインの都度、マップした NAS や Samba のネットワークドライブに接続するために、相手のシステムの固有のパスワードが求められます。
※ 折角 GPO 使っているんだから Windows10 のこのチェックボックスはグレーアウトするか、消して欲しいんですけど........
コントロールパネルではなく、コマンドラインで資格情報のキャッシュを確認したり削除するには cmdkey を使います。
C:\>cmdkey /help
コマンド ラインのパラメーターが間違っています。
このコマンドの構文:
CMDKEY [{/add | /generic}:ターゲット名 {/smartcard | /user:ユーザー名 {/pass{:パスワード}}} | /delete{:ターゲット名 | /ras} | /list{:ターゲット名}]
例:
利用できる資格情報を表示するためのコマンドは次のとおりです:cmdkey /listcmdkey /list:ターゲット名
ドメイン資格情報を作成するためのコマンドは次のとおりです:cmdkey /add:ターゲット名 /user:ユーザー名 /pass:パスワードcmdkey /add:ターゲット名 /user:ユーザー名 /passcmdkey /add:ターゲット名 /user:ユーザー名cmdkey /add:ターゲット名 /smartcard
汎用資格情報を作成するためのコマンドは次のとおりです:汎用資格情報を作成するには /add スイッチを /generic で置き換えることができます
既存の資格情報を削除するためのコマンドは次のとおりです:cmdkey /delete:ターゲット名
RAS 資格情報を削除するためのコマンドは次のとおりです:cmdkey /delete /ras
C:\>cmdkey /list
現在保存されている資格情報:
ターゲット: Domain:target=192.168.1.234種類: ドメイン パスワードユーザー: kenn
C:\>cmdkey /delete:192.168.1.234CMDKEY: 資格情報を正しく削除しました。C:\>
もしまだ接続情報が残っているなら
C:\Users\myname>net use新しい接続は記憶されません。
ステータス ローカル名 リモート名 ネットワーク名-------------------------------------------------------------------------------OK J: \\fs001\rShare Microsoft Windows NetworkOK K: \\fs001\Share Microsoft Windows NetworkOK L: \\fs002\sdc Microsoft Windows NetworkOK M: \\fs002\sdd Microsoft Windows NetworkOK N: \\fs002\sde Microsoft Windows NetworkOK O: \\fs002\Share Microsoft Windows NetworkOK \\nas001\Public Microsoft Windows Networkコマンドは正常に終了しました。
C:\Users\myname>net use \\nas001\public /delete\\nas001\public が削除されました。
C:\Users\myname>klist purge
現在のログオン ID: 0:0x15a5a87eすべてのチケットを削除しています:チケットが削除されました。
C:\Users\myname>
ファイルサーバーのフォルダ容量制限(ディレクトリクォータ)クライアントPCのBCP対策 D:ドライブにドキュメントを保管・バックアップ
PCが重い? Windows Update 帯域制限、その通信費は誰の負担