ローカルセキュリティポリシーの編集ミスでサインインできなくなってしまった

恥ずかしい話ですが、今日ローカルセキュリティポリシーの設定編集をミスしてサインインできなくなってしまいました。

やってしまったのは以下の「対話型ログオン:Windows Hello for Business またはスマートカードが必要」のポリシーの有効化です。

image

会議中にWindows10の規定のポリシーがWindows Hello, PINを利用しないようになっている、という話を聞き、ローカルセキュリティポリシーのWindows Hello関連のポリシーにどんなものがあるかを確認している中で不用意に設定を変更してしまい、そのまま会話が長くなって画面がロックされ・・・入れなくなってしまいました。

どのユーザーで入ろうとしても、下記のように「サインインするにはスマート カードを使う必要があります。」ということで入れません。

image

もちろん入れないので、構成もできず…。

なんとかリモートから管理者に迷惑をかけずにもどしたいなということで頑張りまして結局以下の手順で復旧させました。

  • 別のPCから「コンピューターの管理」で接続
  • リモートレジストリーサービスを開始
  • Regeditにてリモートレジストリに接続
  • コンピューター\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\scforceoptionを0に設定

最終的にレジストリで反映されているので、そのレジストリを直接編集した形です。

Windows Firewall等で完全にリモート接続できない環境だと上記でも復旧できないので、ドメイン側からGPOで設定を上書きする等の対応までやらないといけないかなと思います。

昔はよく、ローカルの管理者をきちんと準備していないのにドメインから抜けてしまって困るということをしたものですが久しぶりにそれを思い出しました。

いやはや、自分専用のPCとはいえもっと慎重に作業しないとだめですね…。

子供3人。家族優先。都内SIer勤務。Windows系中心のインフラよりの何でも屋。脱原発。 Microsoft MVP for Cloud and Datacenter Management.

コメントを残す

メールアドレスが公開されることはありません。