チャブーンです。

残念ですが、Windows の機能だけでこれをするのは無理でしょう。

「Active Directory ユーザーとコンピュータ」で、ユーザアカウントから設定する「次のコンピュータ」を指定した場合、Windows ドメインの認証レベルでOKとなった場合以外、全部が認証拒否の設定となります。

JAVAアプリの場合、LDAP認証という別の認証機能を利用しますので、うえの認証がOKかどうかは判断されません。その場合でも認証拒否の設定は有効なので、認証がとおらなくなってしまっている、ということなのではないでしょうか。

チャブーン様、早速のご回答ありがとうございました。

いただいたキーワードを元に、JAVAアプリでのKeroberos認証への切替を検討してみます。

ありがとうございました。

チャブーンです。

誤解があるといけませんので、ちょっとコメントします。

> < 前略 > 、Windows ドメインの認証レベルでOKとなった場合以外、全部が認証拒否の設定となります。

私の書き方がいけなかったと思うのですが、これは単に kerberos レベルで認証を行えばよい、という話しではなく、Windows ドメイン認証の手順に依存しています。

Windows ドメインでは、コンピュータが起動時に「コンピュータベースのドメイン認証」が行われます。[次のコンピュータ] を設定した場合、登録されたコンピュータ名が自分のコンピュータかどうかチェックが入ると思われますが、このとき「コンピュータベースのドメイン認証を行うことできる」機能が条件に必要なように思います(ちゃんと確かめてはいませんが)。

他のアプリケーションが認証を行う場合、この「コンピュータベースの認証」は意識されてないはずですので、アプリ側で作り込みを行うしかない、ということになるのですが、コンピュータの認証に必要なパスワード設定はWindowsでは自動で設定されるので、ユーザアカウントと同じようには扱えない部分があるのです。

コンピュータ個体レベルで認証制限をかけたいというなら、クライアント証明書などを使った別の認証方法を検討した方がいいと思います。

趣旨はちょっと変わりますが、単に特定 IP アドレスからのコンピュータからだけ認証を受け付けたい、ということなら Windows ファイアウォールを使って 88/udp 88/tcp の入力を制限する、という方法もありますね。

チャブーン様

回答ありがとうございます。

そうですか・・・。
「コンピュータベースのドメイン認証を行うことできる」機能が働くと、他の業務アプリからの認証問い合わせは多分NGになりそうですね。

コンピュータ個体とアカウントが１：１になるようにしたいというのは、お客様側の要件でしたので、他のクライアント証明書などを使った別の認証方法というのは、なかなか・・・。

でも、ヒントをいただきましたので、対策について検討を続けてみたいと思います。
ありがとうございました。