ログオフなしでファイルサーバーとのセッションを切断するには-資格情報の削除

まるでセキュリティホールの様な Windows10 の困ったちゃんの仕様に悩まされました。接続したファイルサーバーからログオフできない!

- 現象 -

いくつかの NAS や Samba などの CIFS ファイルサーバーから、特定のサーバーだけ、Windows からサインオフせずサインオンしたまま、セッションを切断したい、別なセッションで接続したい。Windows10 からログオフせずに、NAS やファイルサーバーからログオフできないか。




- 良くある話 -

よくある話としては、管理者としてログインして、セキュリティの設定をして、うまく動いているか、別な一般ユーザーでログオンして確認をしたい、などのケースですね。

一般的には

> net use

して、生きているセッションを確認して

> net use \\server\share /delete

> net use \\server\ipc$ /delete

すればよいのですが、セッションがなくなったにもかかわらず、認証情報がキャッシュされていて、セッションを切断できない。資格情報がキャッシュされてセッションが残る



例えば NAS などに user-a でログインしたあと、ログアウトして、user-b でログインし直そうとすると、user-a のセッション情報がキャッシュされていて、ログインダイアログが出てこないで無認証で接続できてしまう。

しかもそのセッションは > net use で表示されてもいないので、削除すらできない。サーバーが繋がったままではトイレもコーヒー買いにも行けない。かといってログオフしたくない。

サインオフして、再ログインしないとセッションがクリアされない。

ログオフなしでファイルサーバーとのセッションを切断するには-資格情報の削除_a0056607_13354738.jpg

- 対策(資格情報を記憶していない場合) -

ネットワークに接続している全てのファイルを閉じて、エクスプローラも(出来れば)閉じておく。

> net use

で使用中のセッションを確認し

> net use \\server\share /delete

を実行した後

> klist purge

を行い、エクスプローラからネットワークの "\\server" をクリックすると、ログイン認証画面が出てくる事がある。これで成功か?

klist Kerberosチケットの表示/削除

- 資格情報を記憶している場合 -

> net use /delete しても、まだ資格情報を保持している場合があります。その場合は、資格情報を削除します。

もし、ドライブマップしているなら、Windows10 のエクスプローラから、マップしているドライブを右クリックして「切断」します。お約束みたいなものです。


ログオフなしでファイルサーバーとのセッションを切断するには-資格情報の削除_a0056607_17395680.png

一旦エクスプローラを閉じます。これも一応お約束。

コントロールパネル > ユーザアカウント > 資格情報マネージャー > ”Windows 資格情報の管理” から、記憶されている接続サービスを選び「削除」

※ コントロールパネルが見えない Windows10 のバージョンの場合は...

隠れていないでコントロールパネルは出頭しなさい!

ログオフなしでファイルサーバーとのセッションを切断するには-資格情報の削除_a0056607_17351775.png

ログイン認証ダイアログが出ました。

ログオフなしでファイルサーバーとのセッションを切断するには-資格情報の削除_a0056607_13451194.jpg

- グループポリシーで「資格情報のキャッシュ」を許可しない -

NAS や Samba などに重要情報にアクセスする都度、パスワード認証させたい場合、グループポリシー(GPO)で、資格情報のキャッシュを禁止する事ができます。

特に重要情報にアクセスする、経理とか人事管理、企業戦略担当などのユーザのPCはそうすべきでしょう。

C:\> gpedit

ローカルコンピュータ > コンピューター構成 > Windowsの設定 > セキュリティの設定 > ローカルセキュリティ > セキュリティオプション > 「ネットワーク アクセス: ネットワーク認証のためにパスワードおよび資格情報を保存することを許可しない」

「有効」にセット

ログオフなしでファイルサーバーとのセッションを切断するには-資格情報の削除_a0056607_14355909.png

「有効」にした後、gpupdate するか、再起動します。

C:\> gpupdate
ポリシーを最新の情報に更新しています...
コンピューター ポリシーの更新が正常に完了しました。
ユーザー ポリシーの更新が正常に完了しました。
C:\>

資格情報マネージャが無効になります。

ログオフなしでファイルサーバーとのセッションを切断するには-資格情報の削除_a0056607_14390367.png


これで C:\> net use \\server\share /delete C:\> klist purge で、接続しようとすると、認証ダイアログは出てきます。が、「資格情報を記憶」をチェックしても保存されません

また、再ログインの都度、マップした NAS や Samba のネットワークドライブに接続するために、相手のシステムの固有のパスワードが求められます。

※ 折角 GPO 使っているんだから Windows10 のこのチェックボックスはグレーアウトするか、消して欲しいんですけど........

ログオフなしでファイルサーバーとのセッションを切断するには-資格情報の削除_a0056607_14534414.png





- cmdkey.exe コマンドラインで資格情報を確認/削除 -

コントロールパネルではなく、コマンドラインで資格情報のキャッシュを確認したり削除するには cmdkey を使います。

C:\>cmdkey /help

コマンド ラインのパラメーターが間違っています。

このコマンドの構文:

CMDKEY [{/add | /generic}:ターゲット名 {/smartcard | /user:ユーザー名 {/pass{:パスワード}}} | /delete{:ターゲット名 | /ras} | /list{:ターゲット名}]

例:

利用できる資格情報を表示するためのコマンドは次のとおりです:
cmdkey /list
cmdkey /list:ターゲット名

ドメイン資格情報を作成するためのコマンドは次のとおりです:
cmdkey /add:ターゲット名 /user:ユーザー名 /pass:パスワード
cmdkey /add:ターゲット名 /user:ユーザー名 /pass
cmdkey /add:ターゲット名 /user:ユーザー名
cmdkey /add:ターゲット名 /smartcard

汎用資格情報を作成するためのコマンドは次のとおりです:
汎用資格情報を作成するには /add スイッチを /generic で置き換えることができ
ます

既存の資格情報を削除するためのコマンドは次のとおりです:
cmdkey /delete:ターゲット名

RAS 資格情報を削除するためのコマンドは次のとおりです:
cmdkey /delete /ras

C:\>cmdkey /list

現在保存されている資格情報:

ターゲット: Domain:target=192.168.1.234
種類: ドメイン パスワード
ユーザー: kenn

C:\>cmdkey /delete:192.168.1.234
CMDKEY: 資格情報を正しく削除しました。
C:\>

- リスト -

もしまだ接続情報が残っているなら

C:\Users\myname>net use
新しい接続は記憶されません。

ステータス ローカル名 リモート名 ネットワーク名
-------------------------------------------------------------------------------
OK J: \\fs001\rShare Microsoft Windows Network
OK K: \\fs001\Share Microsoft Windows Network
OK L: \\fs002\sdc Microsoft Windows Network
OK M: \\fs002\sdd Microsoft Windows Network
OK N: \\fs002\sde Microsoft Windows Network
OK O: \\fs002\Share Microsoft Windows Network
OK \\nas001\Public Microsoft Windows Network
コマンドは正常に終了しました。


C:\Users\myname>net use \\nas001\public /delete
\\nas001\public が削除されました。

C:\Users\myname>klist purge

現在のログオン ID: 0:0x15a5a87e
すべてのチケットを削除しています:
チケットが削除されました。

C:\Users\myname>

 ポイントは、ドライブマップを切断する事、資格情報がキャッシュされている場合は削除、エクスプローラやファイルを開いていると、接続情報が残る場合があるのでエクスプローラーやファイルは必ず閉じておくこと。この3点ですかね。

また、エクスプローラを開いていない場合でも、 \\mynas\IPC$ が残っている場合もあるので、これも /delete します。

うまく行くことをお祈りします。他に情報があればコメントください。



ファイルサーバーのフォルダ容量制限(ディレクトリクォータ)

クライアントPCのBCP対策 D:ドライブにドキュメントを保管・バックアップ

パスワードポリシー強化各種設定のいろいろ、文字数、文字種

そのままじゃ危険だらけ:リモートデスクトップの安全対策

PCが重い? Windows Update 帯域制限、その通信費は誰の負担



- Keyword -

ファイルサーバー,NAS,CIFS,Samba,Windows10, サインオフ,ログオフできない, コマンドライン、セッションが切断できない,別ユーザーでログイン,強制切断






by islandcenter | 2018-03-19 13:50 | Windows | Comments(0)