アクセスポリシー(旧:保護対象アカウント)の「グループ全体のセッション制限(Group)」という項目について
保護対象アカウントの設定画面には、アカウント種別がグループやOU(組織)の場合にのみ表示される「グループ/組織単位全体のセッション制限(Group)」というセクションがあります。
この項目では、下記のように各種セッションの制限数を指定することができます。
[UserLock13.0以降]
[UserLock12.2以下]
「メインルール(旧:General)」セクションにも同様の設定項目がありますが、これらはどう違うのでしょうか。
メインルール(旧:General)セクションで指定する各種セッションの制限数
これらは、グループやOU(組織)に所属するユーザー一人ひとりにかかってくる制限数です。
組織「A」の「メインルール(旧:General)」セクションで、ワークステーションセッションの制限数が2となっていた場合、AのメンバーであるAliceさんはワークステーションセッションを2つまで開くことができます。
Groupセクションで指定する各種セッションの制限数
これらは、グループやOU(組織)全体にかかってくる制限数です。
組織「A」の「グループ/組織単位全体のセッション制限(Group)」セクションで、ワークステーションセッションの制限数が2となって居た場合、AのメンバーであるAliceさん、Bobさんのワークステーションセッション数は合計で2つまで開くことができます。
セッション制限数をメインルール(General)>グループ/組織単位全体のセッション制限(Group)のように設定した場合
これは明らかに矛盾した設定ですが、設定時には特にエラーチェックなどはされません。
実際の動作としては、「グループ/組織単位全体のセッション制限(Group)」の制限に先に抵触するため、「メインルール(旧:General)」で指定した制限値までセッションを開くことはできません。
Related Articles
アクセスポリシー(旧:保護アカウント)に設定した制限やルールが競合した場合の優先順位
UserLockの制限やルールは、Active Directoryの「ユーザー」「グループ」「Organizational Unit」のアカウント単位で設定します。 たとえば、Aliceというユーザーがいて、Aliceが「Dev1」「Team1」という2つのグループに所属していたとします。 ここで、下記のようなことが起こった場合のことを考えていきます。 ...アクセスポリシー(旧:保護アカウント)に設定した制限が有効にならない
アカウントに設定したはずの制限が適用されない理由はいくつか考えられます。 UserLockと保護対象マシンのエージェント間で通信ができていない 対象のマシンとUserLock間のエージェントの通信ができない場合、UserLockの制限は適用されません。 例:エージェントが正しくインストールされていない、エージェントが停止している、SMB TCP 445の通信がファイアウォール等で遮断されている、UserLockサーバーが停止している ...Popup通知が表示されないことがある
アクセスポリシー(旧:Protected accounts)の機能でそのアカウントに対してログオンなどの選択したイベントが発生したときに、指定したコンピューターにポップアップメッセージを表示させる機能があります。 そのPopupが表示されないことがあります。 通知を表示させるためには、通知先のコンピューターにコンソールセッション(*)で接続した状態である必要があります。RDPで接続している際などのリモートセッションでの接続時は通知が表示されないことがあります。 (*) ...UserLockメッセージの日本語訳(UserLock12.1以下)
UserLockでは、エンドユーザーに対して表示されるポップアップダイアログやEメール通知内のメッセージを自由にカスタマイズすることができます。 UserLock12.1以下ではデフォルトでは英語となっているため、日本語にカスタマイズすることをお勧めします。 以下は、UserLockでカスタマイズ可能なメッセージの一覧と、その日本語訳です。カスタマイズの際の参考にしてください。 メッセージID 用途 元のテキスト(英語) 日本語訳 ...「ワークステーションセッション」と「ターミナルセッション」の定義
UserLockで保護対象アカウントに制限をかける際、セッションの種別として以下の選択肢があります。 ワークステーションセッション ターミナルセッション 対話型(インタラクティブ)セッション IISセッション(RDWeb含む) Wi-Fi/VPNセッション SaaSセッション このうち、「 対話型(インタラクティブ)セッション」は、「ワークステーションセッション」「ターミナルセッション」の両方をまとめたものを指します。 ...