Windows★Active Directoryスレ
なかったので立てました。
管理者のみなさん、一緒にお話しませんこと? 2003のDCが3台あってメインじゃないDCを
メンバーサーバーに降格させた場合って
他のDC側でも何か設定変更するのでしょうか?
単純に該当DCの機能を削除するでけでOKなのかな? DCがなくなる場合の文書ってみかけないんで、気になるな。
正常に降格した場合は、不要な情報は、消えてくれるんだろうか。
FSMOの強制の場合だと、FSMOのDCの情報はWINSのはそのうち消えて
くれるとして、「Active Directory ユーザとコンピュータ/Domain Controllers」、
「ActiveDirectory サイトとサービス、DNSあたりのは手動での
削除が必要かもだけど。
そういえば、こういう文書があった。
ドメイン コントローラの降格に失敗した後、Active Directory のデータを削除する方法
ttp://support.microsoft.com/kb/216498/JA/
誰か知ってたら教えてください。
ドメインアカウントの”プロファイルパス”、”ホームディレクトリ”などの情報を
システムメンテナンスにともない一括して書き換えたいんですが、普通どういうふうにやるの?
ドメインバージョンはWindows2000です。
adduser.exeというツールがリソキにあるけど、既存のアカウントの上書きとかもできるんでしょうか?
要望にあってるか、普通かは分らないけど、スクリプト組むんじゃないかな。
ホームディレクトリでいうと
ttp://www.microsoft.com/japan/technet/scriptcenter/resources/qanda/dec05/hey1202.mspx
みたいな。 addusers はどうだったか忘れたけど、ldifde や csvde を使うか、リソキがあれば cusrmgr で書き換えるのも可。 dsmodも使えそう。
ttp://www.microsoft.com/technet/prodtechnol/windowsserver2003/ja/library/ServerHelp/3558c421-ba3d-4b8f-a107-b9058cc0f286.mspx?mfr=true クライアントのドメイン参加設定時に
一部のフォルダにだけアクセス権限の変更がうまく
渡されない原因って何でしょうか? Windows Administrator語でおk おそれいります。現在MCPの勉強しているものですが、Win2000Serverについて理解できない点があります。
Q.
貴方はAコンピュータというハードウェア製造会社のネットワーク管理者です。
貴方はソフトウェア開発部門内に、20台の新しいWindosw2000Serverコンピュータを
展開しています
ソフトウェアテスターが、これらのサーバーをテストのために使用します
それぞれのテスターは、Power Usersグループのメンバーで、新しいハードウェアと
デバイスドライバをこれらのサーバー上にインストールできる必要があります。
貴方は、これらのテスターが、問題なく、ドライバをインストールする
カスタムアプリケーションをテストできるようにしたい。
貴方は展開のためのシステムイメージを準備するために、1台のコンピュータ上に
Windows2000Serverをインストールしました。あなたは、ソフトウェアテスターたちの
要望にこたえるように、このシステムイメージを設定する必要があります。
なにを行うべきですか?
A.Power Usersグループに、[デバイスドライバのロードとアンロード]権利を与える。
解説:
問題中で、テスターたちはPower Usersグループのメンバーだといっていますので、
Power Usersグループに、[デバイスドライバのロードとアンロード]権利を与える事で、
彼らがデバイスドライバをインストールするカスタムアプリケーションをテストする事を
許可することができます。
ユーザ権利の割り当ては、[コンピュータの構成/Windowsの設定/セキュリティの設定/
ローカルポリシー/ユーザー権利の割り当て]で行う事ができます。
[デバイスドライバのロードとアンロード]ユーザー権利はデバイスドライバを
動的にロードまたはアンロードできるユーザーを決定します。
この特権は、プラグアンドプレイデバイスのドライバをインストールするために
必要になります。既定では、Administratorsグループだけがこの権利を持っています。
経緯
解説を読んでPower Usersグループについて調べたところ、
ドメインコントローラーにはPowerUsersが無いようなのですが・・・
これはWindows2000Serverがドメイン管理じゃなくて
メンバーサーバーとして動いていると理解すればいいのでしょうか?
よろしくお願いします DC に Power Users はないんだから、そう考えるしかないでしょ。
それに、設問中「ドメインコントローラ」とはどこにも書いてない。 みんなバックアップソフトは何使ってる?
やっぱアークサーブ? BackupExecのシステムリカバリーってバージョンあるけど
アークサーブ使ってるのはアホですか? ドメインコントローラバックアップするなら当然NTバックアップだろ >>244
>>245
レプリケーションが正常ならたぶんうまく消える。
でも念のため、DCから降格後にADSIEditやNtdsutilを使って
後処理(ディレクトリ情報の削除)を実行するのが無難。
あとは念のため、DNSのSRVレコードに降格したDCのレコードがないか確認し、
あれば手動で削除。 クライアント60人の8時間稼動(電源は24時間ON)の
普通のファイルサーバー用構成だとどんな感じがベストですか?
グローバルグループに属する
メンバー一覧をエクスポートしたいんだが
csvde.exeでできる?マジ助けてくれ
こういうのは、動くかな?
dsget group "cn=grptest,cn=Users,dc=example,dc=com" -members
"CN=usr1,CN=Users,DC=example,DC=com"
"CN=usr2,CN=Users,DC=example,DC=com"
...
グループ名とグループが入ってるOUなどの
指定は直して。
んな事やるぐらいならスプリクト組んだ方が楽ちゃうのん?
ここ参考にしる。
ttp://www.microsoft.com/japan/technet/scriptcenter/scripts/ad/default.mspx win2000のCSVDEをADでやったら表示名がUFT-8で変換されん 初歩的な質問で失礼致します。
ActiveDirectoryを、Unix系のLDAPに置き換えることは不可能ですか?
Windowsドメインの管理はやはりWinServerのADにしかできませんか? やりたいことによるんじゃないの。
認証って意味だけなら、Samba + LDAP でもできると思うけど。
一概に Windows ドメインの管理って言ったってたくさん機能あるんだし
出来ることと出来ないことがあるだろう。
詳しいことは向こうの板なりスレなりで聞いてくれ。 こういうのあったよ。
次世代Samba 4.0系列の概要を知る
ttp://www.thinkit.co.jp/free/article/0707/7/1/
[ANNOUNCE] Samba 4.0.0alpha1
ttp://lists.samba.org/archive/samba-announce/2007/000124.html 特定のPCだけ ログイン出来るユーザを限定するにはどうしたらいいか
誰か教えていただけないでしょうか そのユーザーがログオン出来るPCを限定するなら
アカウントのログオン先でPCを指定すれば可能だけど >>274
確認取れましたありがとうございます。
こちらの設定の関係上このコンピュータはこのアカウントのみ許可する
とか出来るとありがたいのですがどうでしょうか
出来るかどうかわからないけど、
そのコンピュータ上でグループポリシーエディタ(gpedit.msc)を開き
「ローカルコンピュータセキュリティポリシー」
「ローカルポリシー」 => 「ユーザ権利の割り当て」 => 「ローカルログオン」で、
ユーザーを限定することで可能かもしれません
見てみましたが、Domain Usersも許可されていなく
AD関係は一切許可されていませんでした
名前の通りローカルにしか適用されない項目なんだと思います
残念でした >>275
ポリシー関連では無理だとおもわれ。
ログオンスプリクトで弾くか、Ginaで弾くかしないと無理ちゃうか。
素直にログオン先で設定しる。又はスプリクトで設定するとか。
DCのIPを変更したら他のDC側でも手動変更する設定あるのかな?
>>279
DNSのSRVを変更すればOKでない。
DCの数が少ないなら、優先DNSを変更でもOKかと。 ADのグループポリシーで
「コンピュータの構成」→「管理テンプレート」→「Windows Update」
→自動更新を構成する
を有効にしWindowsUpdateの自動更新設定をしても設定の効果が
表れないで困っています。
クライアントのローカルグループポリシーで同様の設定を行った場合には
うまく動作しています。
質問ばかりで申し訳ないのですが、力になっていただけるとありがたいです。
書き忘れましたが環境は
サーバ 2003 R2
クライアント XP Pro
です >>280
優先DNSを変更ってIP変更するPCのですか? >>281
設定の効果が表れないというのは、ポリシーは効いているがWindows Updateの疎通に失敗するのか、
ポリシー自体がそもそも効いてないのかどっちなのか。
[スタート] - [ヘルプとサポート] - [ツールを使ってコンピュータ情報を〜] - [システムの詳細情報] - [適用しているグループポリシーの設定を表示する]
からポリシーがそもそも効いてるのか確認してみそ。gpresult /v でも見えるかもしれんけど。 >>284
アドバイスありがとうございます
ポリシー自体がそもそも聞いていない感じです
「適用しているグループポリシーの設定を表示する」をやってみたところ
正常に動いているクライアントは
適用されたグループポリシーのところが
・Default Domain Policy
・ローカルグループポリシー
になっているのですが
正常に動作してないクライアントは
・ローカルグループポリシー
しか適用されていないことがわかりました
Windows Updateの設定はDefault Domain Policyで行っています
Default Domain Policyが当たっていないなんて考えもしませんでしたが
正常・異常クライアントは同じように設定してあるはずです
なぜこんなことになってしまったのでしょう・・・ 失礼、「Default Domain Policyが当たっていない」んですね。
クライアントパソコンのドメインへの参加手順や
ADへのクライアントパソコンのコンピュータアカウントの登録状況は
どうですか?ドメインへの参加やドメインへのログオンが
できているのでしたら「Default Domain Policy」はあたってそうですが。 >>285
ポリシーがあたらないのは1台だけ?
イベントログに Userenv とか netlogon のエラーが大量に上がってたりしない?
例えばの話ドメイン参加し直してコンピュータアカウント作り直すとか、
エラーが出てるんならそれを解消させることだね。 >>287
>>288
解決しました。本当にありがとうございました。
時間がズレ過ぎとログに書いてあって
そんな馬鹿なと思って時間見てもズレてなかったけれど
よくみたらタイムゾーンがなぜか他のゾーンになってて
時差分がずれてしまってたということでした
時間って大切なのね
そしてログちゃんと見ようね・・・・ってことでした
netlogonって結局どういう役割の意味なんでしょうか?
調べてもまったく出てこないのは基本過ぎてなのかな・・ なんでこんなに人いないの??
ところで皆さんのおすすめのポリシーって無いですか?
これだけはやっとけ!みたいなやつ
自分で一つ定番出すと
[次のパスワードの変更で LAN マネージャのハッシュの値を保存しない]
を有効にする
ですかね?w ごめん誤解をまねいたね
一定時間入力なかったらモニタを消したり
HDDの電源きったりスタンバイに移行したり
ってのをADで管理したいのよ
このあたりの設定ってなぜか管理者権限ないと
変更できないんだもん
Vistaからはできるらしいけども・・・
試しに2台目のドメインコントローラー追加してみようと思うんだけど
DCの追加ウィザードで完了なの?
DNSサーバーも追加しなきゃダメなのでしょうか? DNSも一緒に追加するとなおよろしい。
DNSのレコード(だっけ?)も一緒に複製してくれる。
2003 serverだとDCの追加ウィザード完了で
自動でDNSサーバーも追加される? 2003R2のインストールCDからインストールしたらSP1なのな
SP2まで入れてくれよ >>297
サーバの役割管理画面とかで入れてやらなきゃならんハズ >>6
>サーバから、クライアントのWinXPのハードディスクのdefragができた。
恐ろしく亀レスですがそんなことできるんですか?
もしかしてログオンスクリプトでやるとか?
どなたか教えて下さい
ADに問題なくログインできているのにグループポリシーが適用
されていないPCが発見されました
PCにはUserenvエラーが大量に発生していましたが、ウイルスバスター
のファイヤーウォールを切ることでこの問題は解決できました
問題は他にもこういったPCが存在していないかチェックする方法
なのですが・・・
グループポリシーの適用に失敗しているPCを知る良い方法は
ありませんでしょうか? gpresult 使えばリモートのポリシー適用状態がわかる。
ポリシーの結果セットウィザードとかでもわかった気はするが、数十台とか面倒くさくてやる気にならんな。
gpresult でも、数百台〜数千台になるとたまらんかもしれんが。 グループポリシーは適用されてると信じるしかないっていうw
ログオンスクリプトでサーバーにイベント書き込みするようにする
とかすればわかるかも
おっと、よく読んで無かったけど
>さらにインストールされたアプリケーション、プロセッサ名や速度、
>インストールされた修正プログラムのリストなどの詳細なシステム
>情報を効果的に取り出すこともできます。
だって。なんか便利そう。
既出なのかもしれませんが教えて下さい
ユーザIDの使いまわしやなりすましを見つけるために
ユーザが多重ログインできないようにする方法って
標準であるのでしょうか?
できたらそれを監査対象に入れたいと思っているのですが
>>307
標準機能で多重ログインを防ぐ方法はない。確かそんなポリシーも無かった希ガス。
なので手段は限られてくる。
VistaならばICredentialProvider ,XP以前であればGinaをなんとかするか
ログインスプリクトで何かで判定して強制ログアウト等の方法ぐらいちゃうか?
ADのデータってバックアップどうやって取ればいいんでしょう?
みなさんどうしてます?
ドメインコントローラ2台あればOKでバックアップしないのが
普通でしょうか? >>310
厳密には1度ログインしてセッション数見て多かったら強制ログアウトみたいな
感じですね。
>>309
システム状態をバックアップしてやればOK
できればADの情報だけバックアップできた方が精神衛生上よいんだけどね パソコンショップ最強完全リンク!!!
ttp://want-pc●.com
●はとってね。 CALはWindowsServerってことで統一してくれよ セキュリティログなんとかならんのかな
ログインログオフでも監査でもIISの匿名アクセスでも全部まとめて記録される
からすぐログ溢れるし見づらいったらありゃしない
みなさんどうされてますか?
うちはドメコンのセカンダリをファイルサーバーにしてるんでログを100Mぐらい
にしててもあっという間に溢れちゃいます>< >>318
必要のない監査はGPOで切ればいいんじゃないか? desktop.iniがファイルサーバの監査ログに大量に引っかかって非常に邪魔くさい。
誰かアイコンでも換えてるんだろうか?
>>319
一番うざいのがIISのログなんだけどこれって切れたっけ? >>318
カスタムログで分けられないのかな?
やり方は知らんがw
皆さんDFS使ってます?
便利そうだけどどうもトラブルやしそうで敬遠しちゃってます
安定してますか? うちもDFSそろそろ使ってみようかと思ってるけど二の足踏んじゃってるな
ぐぐっても分からなかったんだけどDFSで作った共有フォルダにもドライブ割り当てってできる? R2のDFSって同期してる片方のファイルサーバーが停止したら
同期先のフォルダに自動でアクセス切り替わるのかな? >>325
ドメイン名でアクセスしてれば移る。
けど、ユーザーに使わせるときには説明がすごい大変。
>>356
レスありがとう。
そうなんだぁ、なんかややこしそうだねぇ
メインのファイルサーバーが止まった時に自動で切り替わる
待機用の複製ファイルサーバーとして使いたいんだけど
用途はあってるかな?w
凝ったことをやろうとするから
サーバがおかしくなるんだ。
DFS-Rって同期してるサーバーの片方だけに通常は全員アクセスするってできるの?
できればかなり使えそうな機能だよね。 あぁ、昨日書き忘れてたけど。。。
DFS-R使う時って、レプリカ用のキャッシュに思ったよりも容量食うから
気をつけてね。
必要量の見積は多めにしとかないと、本末転倒になるぞ。 >>332
ありがとう。
SATAの安サーバー2台でやれば障害対策もOKそうだなぁ
SASのサーバー1台運用よりよさそうw ネットワーク資源にアクセスさせないとかのポリシー設定ってできるんですか? >>334
やっぱりそういうのできるんですね・・・
ありがとうございました 少しヒントをください
同一のサブネット上に DCメインとDCサブを設置したときに、
NLBによる負荷分散というのは有効に働くものなのでしょうか?
現状行なっているのは、どちらかがクラッシュした時を想定して
クライアントのネットワークのプロパティのDNS設定に、DCメイン
DCサブのアドレスを登録しておくくらいなのですが、NLB使えれば
仮想IPひとつを登録しておけばいいように思うのですが それだけのためにNLBを使おうとするのはおすすめしません。
DC間の通信ができなくなるか、マルチホームになって設定が複雑になるか、そんなところ。素直にDNSを複数設定する方が楽。 >>339
ありがとうございます。参考になります。
ん〜 目的別にサーバが設置できないので、1台のサーバにいろいろインスコして
NLB組もうかとも考えたのですが・・・。
DCではまりそうですね。 おしえてください。
AD構成(DHCPサーバー含)のネットワークで、
各ユーザーのマシンがドメインログオンしている時のみ
サーバーの共有資源を使用できるようにするには
どうすればいいの?
現状、ユーザーがドメインにログオンせず勝手にワークグループを使用して
ドメイン上の共有資源を使用するときだけ、「ドメイン名\ユーザー名」で
ログオンしている状況です。コレを禁止したいのですが。。。
ActiveDirectoryの設定等で対応出来るでしょうか?
>>342
ADのポリシーだけじゃできないんじゃないかな?
NAPみたいに認証通してない端末は検疫セグメントに飛ばすとか。。。