Windows★Active Directoryスレ
なかったので立てました。 管理者のみなさん、一緒にお話しませんこと? HOMEエディッションでADのパス変更できませんか? そうですよねー>>122 しかし,ADに参加しないMacでは出来るんですよぉ 多重ログオンを禁止したい ログオンスクリプトを作り込んでやろうかと思ってるんだけど 現在ログイン中のユーザを表示できる方法ってない? ・ログイン中のユーザを表示できるコマンドとか ・VBScriptのこのオブジェクトを参照すればログイン中のユーザ一覧が得られるとか ・VBScriptのこのオブジェクトはそのユーザがログインしてれば1がセットされてるとか 自分で探しては見たけど見つからない・・・ Unix系OSで言うfingerコマンドみたいな ことができるとログオンスクリプトでそのユーザが ログイン中だったらログオフってのができると思うので。 あとは、ログオンスクリプトでファイル作って ログオフスクリプトでそのファイル消すってのも考えたんだけど、 それだと PC AにユーザXでログオン→ファイル作る PC BにユーザXでログオン→ファイルあるからログオフ、だけどログオフ時にファイル消しちゃう PC CにユーザXでログオン→ファイルないからログオンできる ってなって結局多重ログオンできそうなので・・・ 他によさげな方法ないかなあ? ログオン・ログオフスクリプトって動作に失敗するときないですか? ログ取りしてるんですが、ログオンとログオフが対になってない奴が結構あるんですけど。 >>127 それはありえるけど、何故かログオンが存在しない場合もあるんです。 ちなみにスクリプトではログファイルの排他制御&リトライもしています。(つもりかも・・・) >>128 ケーブル抜いてログイン後にケーブル繋げばスクリプトは走らない ログインスクリプト使わなくても多重ログインは防げるわけだが >>129 >>126 >>128 は俺じゃないです でも多重ログインを防ぐ方法があるなら教えてもらえない? 全然思いつかない・・・ 多重ログインを防ぐ方法を漏れも知りたい。 そんなポリシーも見つけられなかったので仕方なくGinaを作りますた・・・・ すいません。 質問です。 DCを二つ用意し、一方をプライマリ・もう一方をバックアップとして構築し、 承認・認証はバックアップサーバで行っている環境があるのですが、これは どこで設定しているのでしょうか? 数日、MSのサイトやグーグルとかに御世話になったのですが分かりません・・・ 利用するOSは両方ともWindows2003 Standardです。 >>133 ありがとうございます。 そこからきっかけとして以下の件が該当していました。 認証・パスワード変更・ユーザ名/コンピュータ検索はDNSのSRVレコードにより該当するサーバが行う 例) (FQDN)._tcp._kerberos (FQDN)._tcp._ldap (FQDN)._tcp._kpassword DNSレコードの全ての_kerberos(だったかな?)を修正することで認証サーバを変更することができました。 質問です AD移行中です。現在NTドメインで移動プロファイルを使用しています 移動プロファイルの変換はADMTで出来るのですが、移動プロファイルの格納サーバも変更となります 単純にコピーして、ADのユーザプロパティでパスだけ書き換えればよいですか? 移動プロファイルの質問です。 ドメイン内に所属する同一ユーザで複数台同時ログインを行ったとします。 (共有アカウントのようなイメージです) この場合に競合するレジストリの編集を行うとどうなるのでしょうか? 後書き優先? >>115 cipher コマンド 俺も最近これで解決したから あえて亀レス。 >>137 移動プロファイルはログオフした時に書き出す。 違うアプリがインスコされいるPCにログオンすると おもしろいことになるよ。 2003サーバーでActiveDirectory構築して、 移動プロファイルを生成して、 クライアントマシンでVisual Studio .net 2003を使いたいのですが、 Visual Studio .net 2003のデバッグを実行したら「ユーザーにマシンのDebugger User権限を与えてください」と出ます。 ドメインのグループにはDebugger Usersグループを追加していますが、 上記のメッセージが出てデバッグできません。 この設定をActiveDirectoryで一括設定するにはどこの設定をいじればよいのですか? メンバーサーバの移行ってみんなどうしてる?一発勝負? >>142 ドメインじゃなくて、個々のPCのローカル権限が無いのが原因じゃない? PCにローカルアドミンでログインして、街頭のドメインユーザに権限を割り当てる。 いちいち個々のPCで作業なので面倒だが。 >>144 レスサンクスです。 確かに各クライアントをいじればいいのでしょうが、 台数が増えることを考えると理想的な解決法ではないし、 なにか、ドメインコントローラー側で解決できないかなと探しています。 お世話になっております。 今Win2000ServerとWindowsServer2003R2を使用しています。 ActiveDirectoryで WindowsServer2003R2の方にユーザーを追加したのですが Win2000Serverの方に追加されません。 プライマリは多分Win2000Serverの方です。(確認方法不明) 強制同期の方法をご存知な方はお教えいただけないでしょうか? またプライマリじゃないADサーバでユーザー登録すること自体 好ましくない行為だったりしませんでしょうか? 以上 RESをいただけますとありがたいです。 ADの場合「プライマリ」でなく、「FSMO」などになるかと。 >またプライマリじゃないADサーバでユーザー登録する FSMOでないDCで登録しても問題ないかと。 >強制同期の方法をご存知な方はお教えいただけないでしょうか? こういうのですか? ttp://www.atmarkit.co.jp/fwin2k/win2ktips/285adrepl/adrepl.html ADの動作確認って、よくみえないというか、結構難しいようで、書籍では、 「Active Directory障害対策ガイド 」に いろいろな例が出ているようです。 たとえば、windowsfirewallの設定や、DNSの設定不良だけでも同期できなる ことがあるのでは?(まず、動作確認できないと、原因切り分けが難しい気が) win2000向けとして「動作保証スクリプト(要activeperl、regdmp)」 がMSから出てるので、これを実行できると、なにかわかるかも。「Microsoft Windows2000Serverリソースキット〈3〉分散システムガイド(上) 」 には、CDにregdmpも入ってるし、記述も役立つかも(インストールCDの Suport/Tool あたりを入れると、dcdiag、netdiag、などが使えるようになると思います)。 以上、初心者ながら予測でした。 >148さん RESありがとうございます。 微妙になんとかなりました。 お教えいただいたのを参考にまだまだ勉強します。 本当にありがとうございました。 ↑だけだと味気ないのでつけたしですが 「FSMOじゃない方」のActiveDirectoryのデータを消して FSMOに登録したら「FSMOじゃない方」にもデータがコピーされて うまく使えるようになりました。 という感じでですけど、、、 スレ汚し失礼しましたっ よかったですね。 ADのテストしてみてますが、サーバ起動後、〜30分〜 たたないと安定しないといった話も聞きますし(動作保証スクリプト にも、何か出てくる)、エラーの記録も再起動しないと消えなかったり、 問題なく使えていれば、動作OKと思うほかないところもあるの でしょうかね。 ActiveDirectoryのドメインポリシを使って、レジストリの特定の値をロックってできます? あるアプリの挙動の一部をユーザがコントロールできないようにするのが目的で、 レジストリの位置と値は見つけたんだけど。 http;//www.microsoft.com/japan/office/ork/two/admc02.mspx を読むと、アクセス制御リストでコントロールできそうにも読めるんだけど、 やりかたがさっぱりわからないでいます。 Windows Server 2003 R2だから、上記のドキュメントにあるようにWindows 2000で可能なら Windoes Server 2003 R2でもできると思うんだけどなあ。 ユーザー名称は英文字と2バイト文字 どちらがいいのでしょうか? 2バイト文字は問題が起こる場合があるので、 英文字を勧めているというのが一般的のようなのですが、 皆さんはどうしていますでしょうか? sharepoint で表示される「xxさんようこそ」 で漢字で表示されると うれしいものですが、英文字で表示されてもそっけない感じが・・・。 とはいえ、トラブルがないのを選びたいと思っています。 >>152 サーバの\windows\infにxxx.admを作成して、ADの管理テンプレートから追加 してポリシーを充ててる。 administrative template(拡張子がadm)か管理テンプレートで検索したら ヒントが出てきた。 IEのインターネットオプション->接続->LANの設定 「設定を自動的に検出する」のチェックを強制的に付けたいと思っています。 ActiveDIrecrtoryが動作しているサーバはWindows2003SV。 グループポリシーのユーザの構成->windows構成->InternetExplorerのメンテナンス-> ->接続->自動ブラウザ構成(優先モード)->構成ファイルを自動的に検出する にチェックを入れてもだめでした。 別なところで定義をするのでしょうか。 どうすればチェックを付けるように出来ますか。 >>153 好きな方を使え。Exchange + Outlook の組み合わせなんかだと、ユーザプロパティの「説明」に日本語で姓名を入れておけば sAMAccountName が英語でも Discription の方を表示してくれる。SharePoint がどうだかは知らん。 >>155 そもそもどこでポリシーを定義しているのか、対象のユーザオブジェクトがどこに格納されているのかによるので、答えようがないな。 DCに設定したWindows2003にローカルアカウントの作り方を教えてください。 ユーザが共有フォルダにディレクトリやファイルを作成した時、 その作成者であってもアクセス権の設定を変更できないように させることはできないでしょうか? やりたいことというのは、 ・アクセス権の変更をAdministrator以外はできないようにしたい ってことなんですが、さすがにユーザが作成したファイルやフォルダの 所有者を強制的に作成者以外にするのは難しいですかね? 対応できるのか?わかんないけど「共有アクセス権は「フルコントロール」ではなく 「変更」にする」とどう? ttp://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=14260&forum=6&6 デフォルトの所有者をadministratorにするしかないかも 「変更」にしても、所有者はどうにでもできちゃうし ADのユーザとグループのマトリクス図ってどうやって作成したら楽? 標準の「一覧のエクスポート」はうんこなんですが・・・ Barcelonaって期待外れだから買わない方がいいみたいだなぁ 待つ価値ないの解かってしまうと萎えるよなホント グループポリシーでクライアントPCに任意のレジストリ追加とかできるんですか? >>165 グループポリシーそのものがクライアントPCのレジストリを操作してるわけだ メニューに無いものは、自分でスクリプトを書かないとダメだけどね 2003R2EEでDC2台構成の場合、両方のサーバをGCにするのって問題ない? 2003ネイティブ(2000ネイティブ)ではGCが無くてもログオンできるたような 記憶があるので、両方で設定する必要ってあるのかな? 2K3でAD統合のDNSにしているサーバ上で「DHCPクライアント」 を無効にしてNSLOOKUPすると、DefaultServer: UnKnownになるのは仕様ということでよい? ADじゃなくても昔からそうじゃなかったっけ? 記憶が薄れてしまっててあれなんだが 2003サーバーのドメインにVISTA入れたけど グループポリシーが反映されないのは仕様なんですか? ファイアーウォール無効化が適用されません・・・ SANBA入りのNASをドメイン参加させたけど DNS使っての名前解決ができない時ってどうするんですか? もうなんかこのスレ終わってるな 一応ageてみるか >>162 Excelで落として、なんとかせい、ってのが普通だと思うけど、 VISIOに精通しているなら、VBAでADSIつかえば、でできそうなきもする。 でも難しそう〜。っーか、大量だとでかい図になるし。 そういう需要ありそうだから、これをネタに、製品作る人とかいそうだなw >>173 これ、たぶん需要あるよね。 先に表を作れって話なのかも知れないけど。 何でもそうなんだけどね。 ユーザとか権限の台帳っていうのは、管理者的には自分がわかればいいだけなんだけど、 ある日突然上から作れって言われたりして、右往左往。 ____ / \ / ─ ─\ / (●) (●) \ <春だなぁ・・・と | (__人__) | ________ \ ` ⌒´ ,/ .| | | ノ \ | | | /´ | | | | l カタカタ | | | ヽ -一ー_~、⌒)^),-、 | |_________| ヽ ____,ノγ⌒ヽ)ニニ- ̄ | | | ____ ずっと疑問に思っている事があるんだけど!!!builtin ってどういう時使うの?検索しても使い道わからん。 usersとはっきりした区別もわからん。 なんの為にあるんじゃろ?? builtin!!! って叫びながら巨人にダイブする時に使う グループポリシーを使って すべてのクライアントローカルのアクセス権を変更はできますかね? たとえばDドライブを使用不可能にしたり。 active directoryのグループポリシーで電源オプションの変更できますか? 制限ユーザーのデフォルト電源設定だと10分で休止モードに入ってしまうため 非常に使いにくいです。 ポリシーの変更箇所を教えていただきたいです。 ADで登録したアカウント情報をODBC接続などでデータを引っ張ってくる事は可能でしょうか? またその際Accessと既存のODBC接続で十分でしょうか? 新規でNTドメインから、ADへ移行あるいはアップグレードする場合って クライアント数分CALって必要ですか? はて?MSのサポートってついて無いんだっけ? 保守ベンダがいない管理者は自力でなんとかするしかないのかな。 質問の内容を見ていると、そう思う。 サーバーOSって未知の領域なんですが グループポリシーに標準である変更テンプレ以外で クライアント側の任意のレジストリを書き換えたりできるのでしょうか? レジストリ作成→クライアントへ配信可能なのでしょうか?? >>186 何でもいいからadmファイルをメモ帳で開いて自分で勉強してください。 >>162 http://www.microsoft.com/japan/technet/community/columns/scripts/sg0405.mspx OUごとにエクスポートする必要もない。エクスポートで出せない詳細情報も出せる ただし複数の値を持つオブジェクトが上手くでない。 ユーザーをキーにして所属グループを綺麗にだせるようになったら俺にも教えてくれ 初心者ですいません。Windows2003R2でADを構築するのですが、セキュリティ 的な面からドメインコントローラ(2台)にWindowsFirewallを設定しようと考え ています。ただFSMOやレプリケーションといったDC間の同期等に影響がないか 心配です。そもそもDCにWindowsFirewallって使うものなのでしょうか? こんなページがある。 Windows Firewall: Domain controller Updated: March 02, 2005 You must turn off Windows Firewall to use this server role. ttp://technet2.microsoft.com/windowsserver/en/library/2a1e2951-7ec8-4297-9c94-757766fb94671033.mspx?mfr=true でも、こんなページも ... ファイアウォール越しにActive Directoryを利用する方法 ttp://www.microsoft.com/japan/technet/archive/ittasks/tasks/adrepfir.mspx 500台のクライアントのDCにするのは Celeron D 3.33GHz メモリ1Gだときついですかね? すみません。どなたか教えてください ADのドメインのプロパティのGPOが開けなくなってしまったのですが 修復またはツールみたいなものありましたらご教授ください たまにドメインユーザマネジャも開かなくなるときがあります。 再インストするしかないですかね。 パソコン一般板質問スレッドVol.26 より 誘導されました。 Win2003ServerのActiveDirectoryでドメイン管理しているのですが、 Vistaマシンがドメインアカウントでログイン出来なくなってしまいました。 なお、同一アカウントにxpでログインする事は可能です。 ログインパスワードを変更した事が原因だと思うのですが、 解決方法はありますか? ログインパスワードは、新しいものや古いものへ戻したりも 試してみました。 よろしくお願いします。 復旧しました。 参考までに。 ローカルの管理者権限で入り、再度ドメイン設定をするような形で アカウントの接続設定を行う事で、ドメインにログインする事が出来ました。 あと、もし同じような感じで困っている方がいたら、 ウィルスバスター等のファイアーウォール設定も 切って試してみると良さそうです。 グループポリシーでネットワークのプロパティを開いて クライアントの設定変更できなくしたいんだけど なかなかうまくできません・・・ 似たような項目を全部変えてみたんだけど・・ souiya WindowsServer2008になったら、ADずいぶん変わるみたいね・・・ デュアルコアXEONの3Gのメモリ2Gで 180台のクライアントのDCと20人のファイルサーバーを兼任できます? スペック的にも厳しいかな? ファイルサーバの使い方にもよると思うけど、大丈夫でしょ。 台数の方が問題じゃないかな?故障時とか。 ありがとうございます。 2003 serverのDCが他に3台あれば大丈夫かな? だからDCなんぞは1台でも大丈夫だろうけどファイルサーバの使い方が問題でしょ。 あとはトラフィック。 DFS使った方がいいよ。 >>201 PC250台ぐらいで、ちょっと前のHP DL360だけど、タスクマネージャーで見る限りはベタ底です。 DC2台あって認証は勝手に分散されてるけど、1台でも負荷的には問題ないと思いますよ。 うちは一斉起動が殆ど無いって言うのもありますが。 >>202 も言ってるけど、ファイルのやりとりに掛かる負荷が問題でしょう。 移動プロファイルもやるつもりなら、かなり事情が変わるかも知れません。 DCとしてだけなら、4台もあれば十分過ぎるんじゃないですかね。 ファイルサーバーって事はアクセス監査もすると考えれば 結構な負荷が掛かるかも。 Windows 2000 serverのActive Directoryについて教えていただきたいことがあります。 他に適切なスレッドがあれば、誘導ねがいます。 本文が長すぎると警告されたので分割して掲載します。 当初 Windows 2000 server 2台をドメインコントローラとしていました。 ある日一台のDC(DC2.foo.localとします)がクラッシュし、起動しなくなりました。 (マザーのトランスの一部が焦げていたので復旧できませんでした) 幸いサブの(スキーママスタやインフラストラクチャマスタではない方)のDCだったので http://support.microsoft.com/kb/216498/ja を参考にクラッシュしたDC2.foo.localを 生きているドメインコントローラ(DC1.foo.local)から削除しました。 その後、今後に備えて新しいハードを用意し、Window Server 2003 R2を購入し ドメインに参加させ、ドメインコントローラに昇格させようとしているのですが adprepは、特に問題なく完了したのですが、 「ソースフォレストの Active Directory スキーマのバージョンはこのコンピュータの Active Directory のバージョンと互換性がありません。」 となり、昇格できません。 adprepを行う前にDC1のシステム状態を戻し、 http://support.microsoft.com/kb/325379/ を参考に作業しているのですが、Server 2003にて C:\Program Files\Support Tools>repadmin /replsummary DC1.foo.local /bysrc /bydest /sort:delta Replication Summary Start Time: 2007-07-16 13:11:53 Beginning data collection for replication summary, this may take awhile: .... Source DC largest delta fails/total %% error Destination DC largest delta fails/total %% error Assertion となり、Active Directory レプリケーションの確認ができません。 DC1でのActive Directory サイトとサービスは Sites Default-First-Site - Servers - DC1 - NTDS Setting[グローバルカタログ] Licensing Site Settings[コンピュータ:DC1 ドメイン:foo.local] NTDS Setting[サイト間トポロジ ジェネレータ サーバー:DC1 サイト:Default-First-Site] Inter-Site Transports - IP - DEFAULTIPSITELINK[このサイト リンクにあるサイト:Default-First-Site] SMTP Subnets - 192.168.1.0/24 となっております。 何か間違っている点、試すべきことなどありましたら、宜しくお願いします。 操作マスタというかFSMOは無事だったのでしょうか?(まず、そのあたりの 確認と、バックアップが必要?) ・FSMO 役割のホルダの確認方法 (サーバー) ttp://support.microsoft.com/default.aspx?scid=kb;ja;234790 ttp://www.atmarkit.co.jp/fwin2k/win2ktips/439fsmorole/fsmorole.html で、こういった記述があったけど。 ・ActivedirectoryでFSMOを強制移動する際の注意点について ttp://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=19419&forum=6&start=8 「adprep」は、Win2000serverで動かしてるの? ・Windows 2000 ドメインまたはフォレストに Windows Server 2003 ドメイン コントローラを作成する場合... ttp://support.microsoft.com/kb/278875/ja 「ドメインコントローラ(DC1.foo.local)の削除」は、最後に行うことだったかも。 ADがよく見えないで操作すると、結構大変になる気もするんで、 ADデータを失うとか、最悪の場合も考えて対応した方がよいかも。 テスト環境などがあって、文献調査なども済んで、テスト してからの対応でないと、危ないかも。 障害復旧関連だと、以下など? ・第 10 章 ‐ ブランチ オフィス環境の障害復旧 ttp://www.microsoft.com/japan/technet/prodtechnol/windows2000serv/technologies/activedirectory/deploy/adguide/addeploy/addch10.mspx ・Windows Server 2003 Technology Active Directory 障害対策ガイド ttp://www.amazon.co.jp/Windows-Server-Technology-Directory-障害対策ガイド/dp/4990152328 以上、無保証です。 皆さんはどんなADでポリシーを設定してるの? ずっとNTドメイン使ってたんだけどNTが保証切れたのでようやく2003環境になった んだけど全然ADを使いこなせてないです まだポリシーゼロです 例えばこれやっとくとクライアント管理が便利だよとかあったら教えて欲しいです うちもやっと全社にAD導入 まだNTドメインひっぱっている課もあるが… ポリシーはとりあえずパスワードの有効期限とか複雑さを要求する設定にしているだけ。 しかしパスワード忘れるユーザー多くてロックアウトされたから解除してくれって依頼が多い。 あとはWSUS使っているからUpdateサーバーを指定している。 IEのproxy設定かな。あと場合によってはホームページとか。 >>209 パスワード付きスクリーンセーバー。 JISQ15001対応には求められる。 ドメコン二台目追加したんだけど なぜかSYSVOLが共有されなくてレプリケーションされない・・・・ それ以外のところはすべて問題ないんだけど なんでか分かる人います? 一通り調べたんですが、どこにも載ってない ドメインコントローラをいったん削除して また入れなおしてみては? MS製品は、手順などが違ったりして、動作がうまくいかなくなると、 難しくなるんで、対応するとすると、インストールメディアから「Support Tools」 入れたり、文献やログ参照しつつ、各種調査しながら、地道にやるのかね。 「入れ直す」っていうのがよいこともあるかもね。 コマンドだと、netdiag、dcdiag、repadminなどを使ってる例もみかける。 ・第 11 章 ‐ ブランチ オフィス環境のトラブルシューティング ガイドライン TCP/IP および DNS 構成、Active Directory の複製のトラブルシューティング〜 ttp://www.microsoft.com/japan/technet/prodtechnol/windows2000serv/technologies/activedirectory/deploy/adguide/addeploy/addch11.mspx#EAE ・レプリケーションのトラブルシューティング ttp://technet2.microsoft.com/WindowsServer/ja/library/22764cb5-9860-4f8f-95e7-337df24edf741041.mspx?mfr=true ・Troubleshoot Active Directory Alerts Active Directory 警告のトラブルシューティング ttp://www.microsoft.com/japan/technet/serviceproviders/library3/CMSU_OSBP_Run_CONC_Troubleshooting_Active_Directory_Alerts.mspx?mfr=true ・Windows Server 2003 Technology Active Directory 障害対策ガイド ttp://www.amazon.co.jp/Windows-Server-Technology-Directory-障害対策ガイド/dp/4990152328 ・Active Directory 複製の監視 ttp://www-1.ibm.com/support/docview.wss?uid=pcd1syj0-00ef8a5&aid=1 ・DNSLint を使用して Active Directory レプリケーションに関する問題のトラブルシューティングを行う方法 ttp://support.microsoft.com/kb/321046/ja ・ActiveDirectoryでレプリケーションが成功しない ttp://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=19583&forum=6&2 >なぜかSYSVOLが共有されなくて... コマンドプロンプトで「net share」やったり、「管理ツール/コンピュータの管理/ 共有フォルダ/共有」みても出て来ていない? 「WindowsFirewallが悪さしてた」ってのは? 一旦削除して追加しなおしは2回ほどやりましたが結果は同じでした また>>216 さんのリンクはまさに自分が探している時に見つけてやりましたが駄目 ファイヤーウォールもマイクロソフトのHPに出てたのでチェックしましたが無効でした @ITとマイクロソフトのHPのSYSVOL、レプリケーションに関するものはほぼすべてチェックしましたが ほとんど外れでした はっきりいって途方にくれてるとこ・・・・・・・・ read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる