Windows★Active Directoryスレ
なかったので立てました。 管理者のみなさん、一緒にお話しませんこと? >>186 何でもいいからadmファイルをメモ帳で開いて自分で勉強してください。 >>162 http://www.microsoft.com/japan/technet/community/columns/scripts/sg0405.mspx OUごとにエクスポートする必要もない。エクスポートで出せない詳細情報も出せる ただし複数の値を持つオブジェクトが上手くでない。 ユーザーをキーにして所属グループを綺麗にだせるようになったら俺にも教えてくれ 初心者ですいません。Windows2003R2でADを構築するのですが、セキュリティ 的な面からドメインコントローラ(2台)にWindowsFirewallを設定しようと考え ています。ただFSMOやレプリケーションといったDC間の同期等に影響がないか 心配です。そもそもDCにWindowsFirewallって使うものなのでしょうか? こんなページがある。 Windows Firewall: Domain controller Updated: March 02, 2005 You must turn off Windows Firewall to use this server role. ttp://technet2.microsoft.com/windowsserver/en/library/2a1e2951-7ec8-4297-9c94-757766fb94671033.mspx?mfr=true でも、こんなページも ... ファイアウォール越しにActive Directoryを利用する方法 ttp://www.microsoft.com/japan/technet/archive/ittasks/tasks/adrepfir.mspx 500台のクライアントのDCにするのは Celeron D 3.33GHz メモリ1Gだときついですかね? すみません。どなたか教えてください ADのドメインのプロパティのGPOが開けなくなってしまったのですが 修復またはツールみたいなものありましたらご教授ください たまにドメインユーザマネジャも開かなくなるときがあります。 再インストするしかないですかね。 パソコン一般板質問スレッドVol.26 より 誘導されました。 Win2003ServerのActiveDirectoryでドメイン管理しているのですが、 Vistaマシンがドメインアカウントでログイン出来なくなってしまいました。 なお、同一アカウントにxpでログインする事は可能です。 ログインパスワードを変更した事が原因だと思うのですが、 解決方法はありますか? ログインパスワードは、新しいものや古いものへ戻したりも 試してみました。 よろしくお願いします。 復旧しました。 参考までに。 ローカルの管理者権限で入り、再度ドメイン設定をするような形で アカウントの接続設定を行う事で、ドメインにログインする事が出来ました。 あと、もし同じような感じで困っている方がいたら、 ウィルスバスター等のファイアーウォール設定も 切って試してみると良さそうです。 グループポリシーでネットワークのプロパティを開いて クライアントの設定変更できなくしたいんだけど なかなかうまくできません・・・ 似たような項目を全部変えてみたんだけど・・ souiya WindowsServer2008になったら、ADずいぶん変わるみたいね・・・ デュアルコアXEONの3Gのメモリ2Gで 180台のクライアントのDCと20人のファイルサーバーを兼任できます? スペック的にも厳しいかな? ファイルサーバの使い方にもよると思うけど、大丈夫でしょ。 台数の方が問題じゃないかな?故障時とか。 ありがとうございます。 2003 serverのDCが他に3台あれば大丈夫かな? だからDCなんぞは1台でも大丈夫だろうけどファイルサーバの使い方が問題でしょ。 あとはトラフィック。 DFS使った方がいいよ。 >>201 PC250台ぐらいで、ちょっと前のHP DL360だけど、タスクマネージャーで見る限りはベタ底です。 DC2台あって認証は勝手に分散されてるけど、1台でも負荷的には問題ないと思いますよ。 うちは一斉起動が殆ど無いって言うのもありますが。 >>202 も言ってるけど、ファイルのやりとりに掛かる負荷が問題でしょう。 移動プロファイルもやるつもりなら、かなり事情が変わるかも知れません。 DCとしてだけなら、4台もあれば十分過ぎるんじゃないですかね。 ファイルサーバーって事はアクセス監査もすると考えれば 結構な負荷が掛かるかも。 Windows 2000 serverのActive Directoryについて教えていただきたいことがあります。 他に適切なスレッドがあれば、誘導ねがいます。 本文が長すぎると警告されたので分割して掲載します。 当初 Windows 2000 server 2台をドメインコントローラとしていました。 ある日一台のDC(DC2.foo.localとします)がクラッシュし、起動しなくなりました。 (マザーのトランスの一部が焦げていたので復旧できませんでした) 幸いサブの(スキーママスタやインフラストラクチャマスタではない方)のDCだったので http://support.microsoft.com/kb/216498/ja を参考にクラッシュしたDC2.foo.localを 生きているドメインコントローラ(DC1.foo.local)から削除しました。 その後、今後に備えて新しいハードを用意し、Window Server 2003 R2を購入し ドメインに参加させ、ドメインコントローラに昇格させようとしているのですが adprepは、特に問題なく完了したのですが、 「ソースフォレストの Active Directory スキーマのバージョンはこのコンピュータの Active Directory のバージョンと互換性がありません。」 となり、昇格できません。 adprepを行う前にDC1のシステム状態を戻し、 http://support.microsoft.com/kb/325379/ を参考に作業しているのですが、Server 2003にて C:\Program Files\Support Tools>repadmin /replsummary DC1.foo.local /bysrc /bydest /sort:delta Replication Summary Start Time: 2007-07-16 13:11:53 Beginning data collection for replication summary, this may take awhile: .... Source DC largest delta fails/total %% error Destination DC largest delta fails/total %% error Assertion となり、Active Directory レプリケーションの確認ができません。 DC1でのActive Directory サイトとサービスは Sites Default-First-Site - Servers - DC1 - NTDS Setting[グローバルカタログ] Licensing Site Settings[コンピュータ:DC1 ドメイン:foo.local] NTDS Setting[サイト間トポロジ ジェネレータ サーバー:DC1 サイト:Default-First-Site] Inter-Site Transports - IP - DEFAULTIPSITELINK[このサイト リンクにあるサイト:Default-First-Site] SMTP Subnets - 192.168.1.0/24 となっております。 何か間違っている点、試すべきことなどありましたら、宜しくお願いします。 操作マスタというかFSMOは無事だったのでしょうか?(まず、そのあたりの 確認と、バックアップが必要?) ・FSMO 役割のホルダの確認方法 (サーバー) ttp://support.microsoft.com/default.aspx?scid=kb;ja;234790 ttp://www.atmarkit.co.jp/fwin2k/win2ktips/439fsmorole/fsmorole.html で、こういった記述があったけど。 ・ActivedirectoryでFSMOを強制移動する際の注意点について ttp://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=19419&forum=6&start=8 「adprep」は、Win2000serverで動かしてるの? ・Windows 2000 ドメインまたはフォレストに Windows Server 2003 ドメイン コントローラを作成する場合... ttp://support.microsoft.com/kb/278875/ja 「ドメインコントローラ(DC1.foo.local)の削除」は、最後に行うことだったかも。 ADがよく見えないで操作すると、結構大変になる気もするんで、 ADデータを失うとか、最悪の場合も考えて対応した方がよいかも。 テスト環境などがあって、文献調査なども済んで、テスト してからの対応でないと、危ないかも。 障害復旧関連だと、以下など? ・第 10 章 ‐ ブランチ オフィス環境の障害復旧 ttp://www.microsoft.com/japan/technet/prodtechnol/windows2000serv/technologies/activedirectory/deploy/adguide/addeploy/addch10.mspx ・Windows Server 2003 Technology Active Directory 障害対策ガイド ttp://www.amazon.co.jp/Windows-Server-Technology-Directory-障害対策ガイド/dp/4990152328 以上、無保証です。 皆さんはどんなADでポリシーを設定してるの? ずっとNTドメイン使ってたんだけどNTが保証切れたのでようやく2003環境になった んだけど全然ADを使いこなせてないです まだポリシーゼロです 例えばこれやっとくとクライアント管理が便利だよとかあったら教えて欲しいです うちもやっと全社にAD導入 まだNTドメインひっぱっている課もあるが… ポリシーはとりあえずパスワードの有効期限とか複雑さを要求する設定にしているだけ。 しかしパスワード忘れるユーザー多くてロックアウトされたから解除してくれって依頼が多い。 あとはWSUS使っているからUpdateサーバーを指定している。 IEのproxy設定かな。あと場合によってはホームページとか。 >>209 パスワード付きスクリーンセーバー。 JISQ15001対応には求められる。 ドメコン二台目追加したんだけど なぜかSYSVOLが共有されなくてレプリケーションされない・・・・ それ以外のところはすべて問題ないんだけど なんでか分かる人います? 一通り調べたんですが、どこにも載ってない ドメインコントローラをいったん削除して また入れなおしてみては? MS製品は、手順などが違ったりして、動作がうまくいかなくなると、 難しくなるんで、対応するとすると、インストールメディアから「Support Tools」 入れたり、文献やログ参照しつつ、各種調査しながら、地道にやるのかね。 「入れ直す」っていうのがよいこともあるかもね。 コマンドだと、netdiag、dcdiag、repadminなどを使ってる例もみかける。 ・第 11 章 ‐ ブランチ オフィス環境のトラブルシューティング ガイドライン TCP/IP および DNS 構成、Active Directory の複製のトラブルシューティング〜 ttp://www.microsoft.com/japan/technet/prodtechnol/windows2000serv/technologies/activedirectory/deploy/adguide/addeploy/addch11.mspx#EAE ・レプリケーションのトラブルシューティング ttp://technet2.microsoft.com/WindowsServer/ja/library/22764cb5-9860-4f8f-95e7-337df24edf741041.mspx?mfr=true ・Troubleshoot Active Directory Alerts Active Directory 警告のトラブルシューティング ttp://www.microsoft.com/japan/technet/serviceproviders/library3/CMSU_OSBP_Run_CONC_Troubleshooting_Active_Directory_Alerts.mspx?mfr=true ・Windows Server 2003 Technology Active Directory 障害対策ガイド ttp://www.amazon.co.jp/Windows-Server-Technology-Directory-障害対策ガイド/dp/4990152328 ・Active Directory 複製の監視 ttp://www-1.ibm.com/support/docview.wss?uid=pcd1syj0-00ef8a5&aid=1 ・DNSLint を使用して Active Directory レプリケーションに関する問題のトラブルシューティングを行う方法 ttp://support.microsoft.com/kb/321046/ja ・ActiveDirectoryでレプリケーションが成功しない ttp://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=19583&forum=6&2 >なぜかSYSVOLが共有されなくて... コマンドプロンプトで「net share」やったり、「管理ツール/コンピュータの管理/ 共有フォルダ/共有」みても出て来ていない? 「WindowsFirewallが悪さしてた」ってのは? 一旦削除して追加しなおしは2回ほどやりましたが結果は同じでした また>>216 さんのリンクはまさに自分が探している時に見つけてやりましたが駄目 ファイヤーウォールもマイクロソフトのHPに出てたのでチェックしましたが無効でした @ITとマイクロソフトのHPのSYSVOL、レプリケーションに関するものはほぼすべてチェックしましたが ほとんど外れでした はっきりいって途方にくれてるとこ・・・・・・・・ * * * うそです + n ∧_∧ n + (ヨ(* ´∀`)E) Y Y * さすがにそれはないと思うけど... でも、まだ変だったら、DNS関連を含めて、1台目、2台目など、 以下あたりの作業状況は知りたいかも。 ・Active Directoryの導入 ttp://www.atmarkit.co.jp/fwin2k/operation/2003adprimer07/2003adprimer07_01.html 詳細に状況を書くと 1台のドメコンで動いていたもの(旧)に現場担当者が2台目(新)を追加 しかし不十分なやり方で移行したため、現在2台で動いてはいるが、旧の方をシャットダウンすると クライアントからログインできなくなる つまり新の方はドメコンとして動いていないように思われる 旧のリースが消えるため、なんと新に移したい。(その現場担当者はもうやめていていない) というところです で作業は新を一旦降格して、旧だけに戻しました するとクライアントからログインはできます で、新を再昇格しました すると新の方でユーザーも作れるし、見た目上、おかしなところはありません これで旧の方をシャットダウンするとやっぱりクライアントからログインできません 調べてみるとSYSVOLが共有されてなくて空っぽでした どうもレプリケーションができていない模様 DNSでの名前解決はできている という感じですが・・・・ 誰か同じような経験にあった人いませんか? 205です。 いろいろと調査中ですが、生きている2000serverSP4(DC1.foo.local)上でrepadminをかけたところ 以下のような表示がでました。 inbound,outbound共に何も表示されないので、これ以降の作業はDCを再起動できないので 週末に作業します。 C:\Documents and Settings\admiral>repadmin /kcc Consistency check on localhost successful. C:\Documents and Settings\admiral>repadmin /showreps Default-First-Site\DC1 DSA Options : IS_GC objectGuid : 450cea91-591e-4974-ba27-8d87deb4428e invocationID: c284769b-98c1-4149-bf30-a86fa9c98c4a ==== INBOUND NEIGHBORS ====================================== ==== OUTBOUND NEIGHBORS FOR CHANGE NOTIFICATIONS ============ >>222 追加したDCからドメインコントローラポリシー(だっけ?)って開けるの? >すると新の方でユーザーも作れるし、見た目上、おかしなところはありません >これで旧の方をシャットダウンするとやっぱりクライアントからログインできません こういう状況だとすると、 ・DNSがまず気になります DNSについて理解していますか?「ActiveDirectory統合DNSサーバ」にしてますか? ・「操作マスタ(FSMO)」の必要性や扱いは理解していますか? 「旧サーバ」が最初のDCで、FSMOなのでしょうけど、まず、 >>208 の文書をあたって、確実に確認し、新サーバに機能を 移すのであれば、FSMOの転送が必要です(FSMOがない状態でしたら、 強制する必要も)。 ・「グローバルカタログ」については? 1台目のDCは「グローバルカタログ」でもあり、「グローバルカタログ」 がないとユーザはドメインへログオンできないようです。 このため、旧サーバを停止するのであれば、新サーバにも 「グローバルカタログ」を設定する必要があるでしょう。 設定方法は「グローバル・カタログ、操作マスタ、サイト」に 出ています。 ttp://www.atmarkit.co.jp/fwin2k/operation/adprimer004/adprimer004_01.html 結構、いろいろな話の組み合わせだったりしているので、 状況が見えない状態でいきなりやっても、うまく行かない 可能性も考えられます。 復旧できなくなる可能性も考えられます。 理想的には、無料で利用できるvmwareserver と、win2003serve評価版を使うなどして、手順、動作確認してから やったほうがよいでしょうし、作業前にバックアップを取ることも 必要でしょうし(一通り、書籍や研修などで確認できるとよいのですが...)。 以上、無保証ですが、DNS、FSMO、グローバルカタログあたりを まず抑えてみては? FSMOの確認は、 dcdiag /test:knowsofroleholders /v でも行えます。 ttp://www.windows-world.jp/images/_main/200504/152417.jpg ttp://www.windows-world.jp/faq/-/15241.html その他、単純な構成(1フォレスト、1ドメイン)ではなく、より 複雑な構成をしている場合だと、「グローバルカタログ」と「インフラストラクチャ マスタ」 は同じサーバにならないようになどの話も出てくるようなので、より、注意が必要です。 Active Directory ドメイン コントローラ上への FSMO の配置と最適化 ttp://support.microsoft.com/kb/223346/ja なんかADに関する複合的なトラブルのような気がするね。 ここらへんはもうチェック済み? SYSVOL および NETLOGON 共有が存在しない場合のトラブルシューティング http://support.microsoft.com/kb/257338/ja それと、イベントログにはなんか変なエラーとか上がってないのかな? (アプリケーションとシステムだけじゃなく、FRSとかDirectory Serviceのイベントもね) あと、ADの復旧の話もなんかあったみたいだけど、2003でスキーマが拡張されたり 細かい部分で変わってるけど、基本的なところは 2000の ADとあまり変わらないので このドキュメントは非常にわかりやすくて参考になると思う。あくまで基本的な考え方ね。 Active Directory? 障害復旧ガイド http://www.microsoft.com/japan/technet/prodtechnol/windows2000serv/techinfo/administration/activedirectory/addrstep.mspx 返信ありがとうございます 操作マスタ、グローバルカタログは問題なく移せています コマンドプロンプトのntutilからも確認できます 共有が存在しない時のトラブルシューティングも確認しましたが、 実際どう操作していいのか分からない イベントヴューアはすべてのイベントIDについて調べましたが、 特に解決に結びつくものはありませんでした また一回新サーバーを降格して入りなおしもしましたが駄目 クライアントのログインだけができないのです クライアントのDNSはもちろんちゃんと設定しているので名前解決はできています あと、サーバーでユーザー等を作成する時に若干操作が遅くなるのは気になるところかな やっぱり入れなおししかないでしょうかね? 800ユーザーなんですが・・・・・・・・・ 実際どう操作していいのかわからないってのはやってみろとしか言えないけど、 他に解決に結びつくものがないと言われると、こっちとしては「そうですか」としか 言えなくなっちゃうので、何かしらの情報がもらえないとアドバイスのしようがないねぇ。 とりあえず、クライアントからのWindowsドメインログオンが出来ないってことは Netlogonに問題があるので、どうでもいい端末をクライアントに仕立てて、 障害発生時の環境でデバッグログ取ってみたら? Net Logon サービスのデバッグ用ログを有効にします。 http://support.microsoft.com/kb/109626/ja 金さえ出せるんなら、障害復旧ガイドにも書いてあったけどPSSに泣きつくのも手かとは思うけど。 >>227 >... >以上、無保証ですが、DNS、FSMO、グローバルカタログあたりを >まず抑えてみては? DNSについて、補足です。 DC、クライアントともに同じDNS情報を参照できる状態になってる必要があります。 旧DCにはDNSが入っているのだと思いますが、 ・旧、新DC、テスト用クライアントの「インターネットプロトコル(TCP/IP) のプロパティ」のDNS設定にて旧DCのIPアドレスを「優先...」として設定しておきます。 新DCのDNSの設定はどうなってますか?たとえば、旧DCのDNSを参照して いないため、DC追加作業、同期などがうまく行っていない可能性は?。 ・新DCにも「ActiveDirectory統合DNSサーバ」として入れる必要があるでしょう。 ・DC追加後、DNS、DCの動作確認ができたら、以下を実施? ドメイン コントローラでは DNS の照会先に自分自身を指定する。 ttp://support.microsoft.com/kb/291382/ja ・クライアントパソコンのDNSの設定に、旧DCの他、新DCを「代替...」として追加 旧DC停止時にDNS参照できるよう。 >>229 >... >SYSVOL および NETLOGON 共有が存在しない場合... これも問題なのだとすると、この解決をしないとDCの設定、動作確認 ができないかもですか。ということで、最優先なのかね。 あっ、進んでる... >共有が存在しない時のトラブルシューティングも確認しましたが、 >実際どう操作していいのか分からない > >イベントヴューアはすべてのイベントIDについて調べましたが、 >特に解決に結びつくものはありませんでした コマンド系だと、たとえば、windows server 2000 のリソースキット(どの分冊でもOKかも。AD関連のは、かなり 記述もあるけど)を持っているようだと、activeperl(2003環境だと、 最新のactiveperlで動いた)を使った「動作保証スクリプト」が使えたりする と思うんだけど。 dcdiag、netdiag、readminなどを手でたたくより、 内容をまとめてくれてるためだったか?問題点がわかったことがあった。 >>232 >>やっぱり入れなおししかないでしょうかね? >>800 ユーザーなんですが・・・・・・・・・ 最悪、そうなったとしても、dsadd dsquery dsmod...など コマンドを駆使すれば、初期パスワードを設定した形での 環境までは復元できるのでは。アクセス権とかは、大変かな(どうですか?)。 ・前使ってたDC名を使っていないか? ・Win2000serverのDCを追加してみると? 解決してよかったです。 うまく行かなかった時のエラーメッセージは、dcpromoのウイザード んとこで出てたの?イベントログ?どっかのログファイル? ・Windows Server 2003 Technology Active Directory 障害対策ガイド ttp://www.amazon.co.jp/Windows-Server-Technology-Directory-障害対策ガイド/dp/4990152328 には、ログ出力によってのトラブル時の具体的な対応方法が かかれているよう。状況によっては、SYSVOLなどの バックアップが必要になるようだ。「adprep」の記述があるか?は不明。 Active Directoryの質問じゃないのかもしれないですが教えてください 前任者がクライアントの管理をほとんどせず辞めてしまったのですが ADなどを使ってクライアントのCPUスペックやと搭載メモリを調べること ってできますでしょうか? メモリ128MBでXPが大量に動いていてメモリを増やす計画が出たのですが 128MBのPCが何台ぐらいあるのか調べたいんです。 全国の拠点で300台ぐらいあるのでリモートで調べられる方法があれば 教えてもらえると助かります wsh、wmiなどもあるのかもだけど、systeminfoはどう? systeminfoコマンドでシステムの情報を収集する ttp://www.atmarkit.co.jp/fwin2k/win2ktips/506sysinfo/sysinfo.html デスクトップをフォルダリダイレクトしている状態だと、デスクトップから ショートカットを開くたびに「セキュリティの警告」ダイアログが表示され てしまいます。 リダイレクト先は DC なんですが、警告を表示しないようにできないでしょうか? こういうのは参考になるのかな? セキュリティの警告ダイアログの回避方法が知りたい ttp://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=26030&forum=7&start=16&23 >>240 ありがとうございます ちょっとページが今は見れないですが明日見てみますね 2003のDCが3台あってメインじゃないDCを メンバーサーバーに降格させた場合って 他のDC側でも何か設定変更するのでしょうか? 単純に該当DCの機能を削除するでけでOKなのかな? DCがなくなる場合の文書ってみかけないんで、気になるな。 正常に降格した場合は、不要な情報は、消えてくれるんだろうか。 FSMOの強制の場合だと、FSMOのDCの情報はWINSのはそのうち消えて くれるとして、「Active Directory ユーザとコンピュータ/Domain Controllers」、 「ActiveDirectory サイトとサービス、DNSあたりのは手動での 削除が必要かもだけど。 そういえば、こういう文書があった。 ドメイン コントローラの降格に失敗した後、Active Directory のデータを削除する方法 ttp://support.microsoft.com/kb/216498/JA/ 誰か知ってたら教えてください。 ドメインアカウントの”プロファイルパス”、”ホームディレクトリ”などの情報を システムメンテナンスにともない一括して書き換えたいんですが、普通どういうふうにやるの? ドメインバージョンはWindows2000です。 adduser.exeというツールがリソキにあるけど、既存のアカウントの上書きとかもできるんでしょうか? 要望にあってるか、普通かは分らないけど、スクリプト組むんじゃないかな。 ホームディレクトリでいうと ttp://www.microsoft.com/japan/technet/scriptcenter/resources/qanda/dec05/hey1202.mspx みたいな。 addusers はどうだったか忘れたけど、ldifde や csvde を使うか、リソキがあれば cusrmgr で書き換えるのも可。 dsmodも使えそう。 ttp://www.microsoft.com/technet/prodtechnol/windowsserver2003/ja/library/ServerHelp/3558c421-ba3d-4b8f-a107-b9058cc0f286.mspx?mfr=true クライアントのドメイン参加設定時に 一部のフォルダにだけアクセス権限の変更がうまく 渡されない原因って何でしょうか? Windows Administrator語でおk おそれいります。現在MCPの勉強しているものですが、Win2000Serverについて理解できない点があります。 Q. 貴方はAコンピュータというハードウェア製造会社のネットワーク管理者です。 貴方はソフトウェア開発部門内に、20台の新しいWindosw2000Serverコンピュータを 展開しています ソフトウェアテスターが、これらのサーバーをテストのために使用します それぞれのテスターは、Power Usersグループのメンバーで、新しいハードウェアと デバイスドライバをこれらのサーバー上にインストールできる必要があります。 貴方は、これらのテスターが、問題なく、ドライバをインストールする カスタムアプリケーションをテストできるようにしたい。 貴方は展開のためのシステムイメージを準備するために、1台のコンピュータ上に Windows2000Serverをインストールしました。あなたは、ソフトウェアテスターたちの 要望にこたえるように、このシステムイメージを設定する必要があります。 なにを行うべきですか? A.Power Usersグループに、[デバイスドライバのロードとアンロード]権利を与える。 解説: 問題中で、テスターたちはPower Usersグループのメンバーだといっていますので、 Power Usersグループに、[デバイスドライバのロードとアンロード]権利を与える事で、 彼らがデバイスドライバをインストールするカスタムアプリケーションをテストする事を 許可することができます。 ユーザ権利の割り当ては、[コンピュータの構成/Windowsの設定/セキュリティの設定/ ローカルポリシー/ユーザー権利の割り当て]で行う事ができます。 [デバイスドライバのロードとアンロード]ユーザー権利はデバイスドライバを 動的にロードまたはアンロードできるユーザーを決定します。 この特権は、プラグアンドプレイデバイスのドライバをインストールするために 必要になります。既定では、Administratorsグループだけがこの権利を持っています。 経緯 解説を読んでPower Usersグループについて調べたところ、 ドメインコントローラーにはPowerUsersが無いようなのですが・・・ これはWindows2000Serverがドメイン管理じゃなくて メンバーサーバーとして動いていると理解すればいいのでしょうか? よろしくお願いします DC に Power Users はないんだから、そう考えるしかないでしょ。 それに、設問中「ドメインコントローラ」とはどこにも書いてない。 みんなバックアップソフトは何使ってる? やっぱアークサーブ? BackupExecのシステムリカバリーってバージョンあるけど アークサーブ使ってるのはアホですか? ドメインコントローラバックアップするなら当然NTバックアップだろ >>244 >>245 レプリケーションが正常ならたぶんうまく消える。 でも念のため、DCから降格後にADSIEditやNtdsutilを使って 後処理(ディレクトリ情報の削除)を実行するのが無難。 あとは念のため、DNSのSRVレコードに降格したDCのレコードがないか確認し、 あれば手動で削除。 クライアント60人の8時間稼動(電源は24時間ON)の 普通のファイルサーバー用構成だとどんな感じがベストですか? グローバルグループに属する メンバー一覧をエクスポートしたいんだが csvde.exeでできる?マジ助けてくれ こういうのは、動くかな? dsget group "cn=grptest,cn=Users,dc=example,dc=com" -members "CN=usr1,CN=Users,DC=example,DC=com" "CN=usr2,CN=Users,DC=example,DC=com" ... グループ名とグループが入ってるOUなどの 指定は直して。 んな事やるぐらいならスプリクト組んだ方が楽ちゃうのん? ここ参考にしる。 ttp://www.microsoft.com/japan/technet/scriptcenter/scripts/ad/default.mspx win2000のCSVDEをADでやったら表示名がUFT-8で変換されん 初歩的な質問で失礼致します。 ActiveDirectoryを、Unix系のLDAPに置き換えることは不可能ですか? Windowsドメインの管理はやはりWinServerのADにしかできませんか? やりたいことによるんじゃないの。 認証って意味だけなら、Samba + LDAP でもできると思うけど。 一概に Windows ドメインの管理って言ったってたくさん機能あるんだし 出来ることと出来ないことがあるだろう。 詳しいことは向こうの板なりスレなりで聞いてくれ。 こういうのあったよ。 次世代Samba 4.0系列の概要を知る ttp://www.thinkit.co.jp/free/article/0707/7/1/ [ANNOUNCE] Samba 4.0.0alpha1 ttp://lists.samba.org/archive/samba-announce/2007/000124.html 特定のPCだけ ログイン出来るユーザを限定するにはどうしたらいいか 誰か教えていただけないでしょうか そのユーザーがログオン出来るPCを限定するなら アカウントのログオン先でPCを指定すれば可能だけど >>274 確認取れましたありがとうございます。 こちらの設定の関係上このコンピュータはこのアカウントのみ許可する とか出来るとありがたいのですがどうでしょうか 出来るかどうかわからないけど、 そのコンピュータ上でグループポリシーエディタ(gpedit.msc)を開き 「ローカルコンピュータセキュリティポリシー」 「ローカルポリシー」 => 「ユーザ権利の割り当て」 => 「ローカルログオン」で、 ユーザーを限定することで可能かもしれません 見てみましたが、Domain Usersも許可されていなく AD関係は一切許可されていませんでした 名前の通りローカルにしか適用されない項目なんだと思います 残念でした >>275 ポリシー関連では無理だとおもわれ。 ログオンスプリクトで弾くか、Ginaで弾くかしないと無理ちゃうか。 素直にログオン先で設定しる。又はスプリクトで設定するとか。 DCのIPを変更したら他のDC側でも手動変更する設定あるのかな? >>279 DNSのSRVを変更すればOKでない。 DCの数が少ないなら、優先DNSを変更でもOKかと。 ADのグループポリシーで 「コンピュータの構成」→「管理テンプレート」→「Windows Update」 →自動更新を構成する を有効にしWindowsUpdateの自動更新設定をしても設定の効果が 表れないで困っています。 クライアントのローカルグループポリシーで同様の設定を行った場合には うまく動作しています。 質問ばかりで申し訳ないのですが、力になっていただけるとありがたいです。 書き忘れましたが環境は サーバ 2003 R2 クライアント XP Pro です >>280 優先DNSを変更ってIP変更するPCのですか? >>281 設定の効果が表れないというのは、ポリシーは効いているがWindows Updateの疎通に失敗するのか、 ポリシー自体がそもそも効いてないのかどっちなのか。 [スタート] - [ヘルプとサポート] - [ツールを使ってコンピュータ情報を〜] - [システムの詳細情報] - [適用しているグループポリシーの設定を表示する] からポリシーがそもそも効いてるのか確認してみそ。gpresult /v でも見えるかもしれんけど。 >>284 アドバイスありがとうございます ポリシー自体がそもそも聞いていない感じです 「適用しているグループポリシーの設定を表示する」をやってみたところ 正常に動いているクライアントは 適用されたグループポリシーのところが ・Default Domain Policy ・ローカルグループポリシー になっているのですが 正常に動作してないクライアントは ・ローカルグループポリシー しか適用されていないことがわかりました Windows Updateの設定はDefault Domain Policyで行っています Default Domain Policyが当たっていないなんて考えもしませんでしたが 正常・異常クライアントは同じように設定してあるはずです なぜこんなことになってしまったのでしょう・・・ 失礼、「Default Domain Policyが当たっていない」んですね。 クライアントパソコンのドメインへの参加手順や ADへのクライアントパソコンのコンピュータアカウントの登録状況は どうですか?ドメインへの参加やドメインへのログオンが できているのでしたら「Default Domain Policy」はあたってそうですが。 read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる