Windows★Active Directoryスレ
おしえてください。 AD構成(DHCPサーバー含)のネットワークで、 各ユーザーのマシンがドメインログオンしている時のみ サーバーの共有資源を使用できるようにするには どうすればいいの? 現状、ユーザーがドメインにログオンせず勝手にワークグループを使用して ドメイン上の共有資源を使用するときだけ、「ドメイン名\ユーザー名」で ログオンしている状況です。コレを禁止したいのですが。。。 ActiveDirectoryの設定等で対応出来るでしょうか? >>342 ADのポリシーだけじゃできないんじゃないかな? NAPみたいに認証通してない端末は検疫セグメントに飛ばすとか。。。 ワークグループでログオン出来てしまうのが問題では?ローカルのアカウントは管理者以外は無効にしてしまうとか。 ポリシーでできたか分かんないけど。 >>343 現在使用しているServerは、2000Serverです。 NAPって2008Serverからですよね。 >>344 ドメインに参加していないワークグループも有ります。 それが同一セグメントを使用しており、 そのワークグループのマシンからの ドメイン共有資源の使用を制限したいのです。 >>345 NAPって検疫ネットワークってだけで、別に2008じゃなきゃ使えないわけじゃないよ。 RadiusとL2でいいんじゃない? >>346 勘違いしていました。 Server2008の標準機能の事かと思っていました。 すいません、RadiusとL2で実現しようとした場合、 それに対応したネットワーク機器が別途必要なのでしょうか? それとも2000Serverに実装されている標準機能のみで対応可能でしょうか? ちょっと実験環境がないので 経験者の方にお聞きしたいのですが 同じLAN上に a-dom.local と b-dom.local という二つのドメインがあります。 この2つは別々の独立したフォレストになっています。 b-dom.local の方は、まぁ サーバの管理部署が違うから立ってしまっているという なんとも情けない状態です。 (いろいろな事情があり、b-dom.local は無くせそうにありません) LAN内のクライアントは全て a-dom.local に参加しており、b-dom.local のリソース には a-dom と b-dom の信頼関係でアクセス出来るようにしています。 今回、b-dom.local の共有領域拡張という話が持ち上がり、これを期に DFS に できないか検討しています。 b-dom.local 上に DFS は設定したのですが、a-dom.local に参加している (当然 DNS サーバも a-dom.local を向いています) クライアントからは b-dom.local 上に構築した DFS が見れません。 そこで、a-dom.local の DNS に b-dom.local への 委任設定を追加しようとしている のですが、a-dom.local 、b-dom.local とも 各々のAD統合として設定している中で このような委任設定を加えても大丈夫なものでしょうか? 因みに a-dom.local は Win2k、b-dom.local は Win2k3 で稼働しています。 この場合、a-dom.local に .local ゾーンを作成し、 そこに a-dom.local と b-dom.local への委任を作成するのいいのか? そんな事して AD が無問題であればいいのだが もうちと勉強しよう 設定、通信等問題なくても、ADは動作不安定で、脆弱なものと理解していいんでしょうか? 運用している人に何人か話を聞いてもなんか批判的な答えなんですけどw >>350 普通に動く。管理も慣れたから、面倒とは思わなくなった。 外部拠点1箇所だけの小規模だから、それほど脆弱な点も見当たらない。 以上。 WinOSに文句言うと格好良く見えると思って言う人が多いので、要注意。 >>350 MCPも持たずに窓叩きとな? すんません、来年度の目標にしまつ。。。>MCP ユーザー名でリストアップしたユーザーだけ 一括で特定のグループに追加できるコマンドみたいの無かったっけ? グループポリシーってユーザー毎じゃなくて、コンピュータ毎に適用できるんだっけ? 全ての部屋で同一のユーザーアカウントを使用した場合、 例えば、A部屋のパソコンではコントロールパネルを表示させるが B部屋のパソコンでは表示させない、とか。 >>355 PCごとのセキュリティグループ作って適用すればいいんじゃないか? と、脊反レベルで答えて見ます。 >>355 コンピュータ用のポリシーとユーザ用のポリシーがあったような >>355 コンピュータ毎は可能だが、357の言うとおりコンピュータ単位でかけられるポリシーとユーザー単位でかけられるポリシーがある。 コンピュータの場合、356の言うようなグループでの制御ができたかちょっと自信ない。OUを分けてしまえばコンピュータごとに別のポリシーかけることは可能。 ただ、コントロールパネルの表示とかはユーザー毎のポリシー定義になりそうな気がする。ポリシー編集画面で見ればどちらに該当するかは分かるはず。 グループポリシーはadmファイル(テンプレート)の中身を見ればわかるが、基本的にレジストリに特定の 値を書き込んだりしているだけ。レジストリはユーザ単位の情報を保持している箇所(ntuser.dat)と コンピュータ単位の箇所(%systemroot%\system32\config 以下のいくつかのファイル)に分かれるから、 自分のやりたいことがユーザ単位の設定なのか、端末単位の設定なのかがわかればどちらの設定かは わかるし、カスタムテンプレートも作れる。 セキュリティグループを使った制御はコンピュータ単位でもできると思うが、運用が煩雑になるし実際に 試したことはないな。ユーザ単位なら一時的な対応として利用したことはある。 ADUCのインターフェース上では、今パッと見る限りではユーザと同じようにSGに突っ込んで適用/非適用 したいポリシーの[セキュリティ]タブから「グループポリシーの適用」を許可/拒否するだけなんで、同じ 効果が得られると思うけど。 ポリシー適用で、IE7のマシンをIE6にダウングレードさせる方法はあるでしょうか。 こんばんは。 質問させてください。 一度作成&ドメイン参加したユーザを削除し、 再度同じユーザ名でドメイン参加しようとしたところ、 「アクセスが拒否されました」とエラーがでてしまいます。 同じユーザ名で再参加したいのですが、 解決策を教えていただけないでしょうか? ちなみにOSはWindowsXPです。 よろしくお願いいたします。 >>361 んー?なんか不思議な書き方で悩むんだけど。 SIDが違うんだから、アクセスできなくて当然で。。。 ユーザーを削除したのはXP上なの?サーバ上なの? どっちみちユーザー作り直して参加しなおせばいいんでないの? >>361 ユーザーを削除したのはサーバからです。 再度サーバーで同じユーザー名を作成しなおして 参加しようとしましたが、上記のエラーが出てしまいます。 SIDが違うということは、SIDを再生成すればいいのでしょうか? ちなみにSIDはActiveDirectory上で再生成できるものなのでしょうか? 質問ばかりですみません・・。 よろしくお願いいたします。 >>363 無理。削除は慎重にね! 復活の可能性が少しでもあるなら無効にしておかないと。 >>363 バックアップからAuthoritative Restoreで戻すしかないね。 ttp://technet2.microsoft.com/WindowsServer/ja/library/042e7616-4b5d-4c4f-afb7-59fdb89b218a1041.mspx それか、全部の属性がきれいに戻るわけではないけど、DCがWindows 2003以降 であればAdRestoreでも戻るっちゃ戻るけど。 ttp://support.microsoft.com/kb/840001/ja どちらにしろ、よくわからなくて複雑な作業をする危険性を冒すより、アクセス権 なりを再設定したほうが(比較的)面倒くさくなくて確実だろうけどね。 移動プロファイルのサーバ間移行において FSMT は問題なく使えますか? >>364 ,365 >>361 のやりたいことは「同じユーザー名を作成しなおして 同じユーザ名で再参加したい」ということだと思うんだけど なんでSIDまで戻す必要があるの? あくまでも同じ「ユーザ名」でクライアントからドメインにログイン したいというだけなら プロファイル削除して再度ログインでいけるんじゃないんだろうか >>367 > なんでSIDまで戻す必要があるの? 「アクセスが拒否されました」というのが何のリソースに対してアクセスしたときに出ている エラーなのかが書いてないので何とも言えないね。それを解消したいんだと理解したんだけど。 > プロファイル削除して再度ログインでいけるんじゃないんだろうか 削除前のアカウントと再作成したアカウントで同じパスの移動プロファイルを参照している なら、プロファイルへのアクセス権が原因でエラーが出るだろう。ローカルプロファイル なら、例え同一端末に同一sAMAccountNameのユーザでログオンしても同じパスの プロファイルを見に行くことは通常ありえない(プロファイルが原因でのエラーは発生 しない)からプロファイル削除では解決しない。 >>368 あー、ごめん。エラーを失念してた 分かりづらいけど、プロファイル削除再ログオンはプロファイル名を元の名前で使う場合の対応で エラーの解消方法として提示したわけじゃないです プロファイルの件と、ドメインから降格させて、コンピュータアカウント削除して再ドメイン参加で 同じユーザ名で使えるようにならないかな 当方岩手におります。セミナーを探しておりますが、あまりに高いので 1日位でActive Directoryの事を教えている仙台か東京の会場を探して おります。(全ての時間にActive Directoryについてでなくてもいいので すが)そんなに大きい台数の管理ではないので 5日間もかけるほどではないので(正直には予算の話)よろしくお願 いします。 又、server2008が出たので将来的にいずれは移行するのであれば2003より 2008のセミナーに出た方がいいよ~(又は逆の意見)的な アドバイスも、もし御座いましたら、ご教授願います どこかのポリテクセンターでやってないかな。 講義の内容は他とそんなにかわらん。 値段は安いよ。 一度ぐぐってみなされ。 2時間ほど調べましたがポリテクでは平成20年度より、「情報・通信系」及び「管理・ 事務系」については開講しないようです。残念です ネットワーク管理者のためのシステム環境構築とトラブルシュート 社内ネットワークシステム運用管理実践技術(サーバOS編) IPネットワーク相互接続実践技法 グループポリシーの設定内容について、どこを設定したか確認できるツールってありますか? 俺はバカだった・・・ GPMC の 各グループポリシーの設定レポートを見ればよかった・・・ 3台のDCがあります。 グループポリシーをクライアントに適用するサーバは 3台のうち、どのサーバなんでしょうか? 優先順位などあるんでしょうか? 2003serverのDCとXPクライアントで利用しているのですが ログオンのキャッシュって経過時間で無効になり DCに再認証しないとPCにはログオンできなくなるのでしょうか? LANケーブル抜いて1年放置してもクライアント側の プロファイルは使えるのでしょうか? 2003+Vistaでネットワークマップが表示されません。 ttp://itpro.nikkeibp.co.jp/free/ola/olaacceptor.jsp ここを見ると [コンピュータの構成]−[管理用テンプレート]−[ネットワーク]−[Link−Layer Topology Discovery]を有効にする と書いてあるのですが、グループポリシーオブジェクトエディタでみても そんな項目ないです。 どうすればよいでしょうか? 間違ってる可能性大なんでフォローお願いします。 >>375 優先順位はサイトの構成による だったような。 >>376 未定義は10? 忘れましたけど コンピュータの構成→Windowsの設定→セキュリティの設定→ローカルポリシー →セキュリティ→対話型ログオン:ドメインコントローラーが利用できない場合に使用する、 前回ログオンのキャッシュ数 の設定によるはず。 回数制限で時間制限なかったはず。 ADのバックアップを行いたいのですが 方法がよくわかりません。 ttp://hpcgi3.nifty.com/nabezo/wiki.cgi?ActiveDirectory#i16 ここを見たところntbackupでSystemStateをバックアップするとよいという風な 説明があったのですが、 設置してあるバックアップ用サーバーはDCではありません。 他のサーバーのsystemstateってどうやってバックアップするのでしょうか? また、バックアップすべきsystemstateはFSMOの役割を担ったDC1台分のみで よいでしょうか? >>378 DCでBKとれば? そのページに書いてあるし >>Active Directory を完全にバックアップするには、エンタプライズ内のすべてのドメイン コントローラ上でバックアップを実行する必要があります。なお、Active Directory をリモート コンピュータ上でバックアップすることはできません。 >>377 > そんな項目ないです。 Vistaより前にはLLTDなんて仕組みはないから当たり前。 Vista用のadmテンプレートを探すか、admxを2003で読む方法を探すか、 そうでなければ自分でテンプレートを書くか、諦める。 Active Directoryにあるユーザとコンピュータ名を追加後、 ログオンすると背景の青い画面のみ表示されて先に進みません。 解決方法が分かる方いらっしゃいますか? 2003のAD環境のグループポリシーで WINDOWS UPDATEの「自動更新を無効」にしたいと考えております。 最上部のDCアイコンでポリシー設定すると 問題なく、クライアント側の自動更新が無効で塗り潰されるのですが ユーザーがグループ分けされている、OUの部分でポリシー設定しても 無効で塗り潰されないし変更可能なのですが、正常動作なのでしょうか? >>380 DCでのバックアップよりできたらバックアップ用サーバーから取りたいと思ってます。 >>382 ありがとうございます。 ちょっと勉強し直してきますね。 >>383 >Active Directoryにあるユーザとコンピュータ名を追加後 具体的な作業はなんですか? アカウントやコンピュータアカウントを追加したということですか? >ログオンすると背景の青い画面のみ表示されて先に進みません。 どの端末からのログインですか? DC自身?ドメインに参加しているすべての端末でも? また、ログイン情報を入力し、エンターキー押下後の動作はどうですか? 直後に青い画面になり止まりますか? また、ローカルログインでも同じですか? この辺で結構切り分けできると思います。 質問です。 下記のページを見ると、フォレストの機能レベルが「Windows Server 2003」の場合、 サイト内レプリケーションは15秒間隔で実行されると書いてあります。 それでは、「Windows 2000 (デフォルト)」の場合、「Windows Server 2003 中間」の場合では どのくらいの間隔でサイト内レプリケーションが実行されるのでしょうか? その間隔を確認する画面があるのでしょうか? お願い致します。 Windows Server 2003 でドメインの機能レベルおよびフォレストの機能レベルを上げる方法 http://support.microsoft.com/kb/322692/ja >>387 http://technet2.microsoft.com/windowsserver/en/library/1465d773-b763-45ec-b971-c23cdc27400e1033.mspx > 「Windows 2000 (デフォルト)」の場合 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters Replicator notify pause after modify (secs) The default value is 300 seconds. > 「Windows Server 2003 中間」の場合 Raising the forest functional level to Windows Server 2003 Interim or Windows Server 2003 affects notification delay values for first and subsequent change notification, as follows: If a registry entry has the Windows 2000 Server default value of 300 seconds for initial notification delay or 30 seconds for subsequent notification delay at the time the forest functional level is raised, the registry entry that has the default value is removed and the Windows Server 2003 default value takes effect on the respective attribute of each cross-reference object. If a registry entry has a nondefault value, the registry value is preserved. 超初心者ですが、どなたか教えていただけませんか? Active DirectoryではログインIDでログインするPCを限定できると 聞いたのですが、(この認識がまちがっていたらすいません) Active DirectoryドメインはPC自体を何で識別しているのでしょうか? どうやってIDと使用しているPCをひもづけているのですか? SID? ttp://service1.symantec.com/SUPPORT/INTER/ghostjapanesekb.nsf/0066cb01c5a55e1a85256af7006d9d1b/751ed0e4d2d3d29d49256dc2002d6a8c?OpenDocument ttp://technet2.microsoft.com/WindowsServer/ja/library/2f98f5b2-5e7e-4ff3-83a9-c32cf23329211041.mspx?mfr=true >>390 ありがとうございます。 SIDというものでPCを認識しているのすかね。 (なんとなくわかりました) SIDで認識しているとすると、SIDは何を元に生成されるのでしょうか? 悪意をもった人間がSIDを偽装することはできるのですか? どなたか教えてください。 >>391 インストールした時間とかNICのMACアドレスとか色々な要素らしい。 生成に関するアルゴリズムとか要素は公開されて無かったと思う。 >悪意をもった人間がSIDを偽装することはできるのですか? 理論的には可能。 >>391 sambaとかだと、SIDを明示的に指定することも できたんではなかったかな。 なるほど、回答いただいた方々ありがとうございます。 不明だったことがだいぶ解決しました。 そうすると、SIDが偽装できなと仮定するとIDとパスが漏れても 他のPCからはログインできないという事でいいのでしょうか? 他のPCからドメイン上のファイルにアクセスする方法とかあるのでしょうか? >>394 ドメインに参加してないPCでも共有リソースアクセス時にユーザー名とパスワード入れればアクセスできるぞ。 それをADの機能だけで抑制出来たかなぁ? >>ドメインに参加してないPCでも共有リソースアクセス時にユーザー名とパスワード入れればアクセスできるぞ。 デフォルトだとそうだよね。 >>394 コンピュータアカウントで制御していれば、 多少、そういう感じにできるのかもだけど、 デフォルトでは、ADのユーザは任意のコンピュータを ドメインに参加できる。 重複したコンピュータ名は参加させられないだろうけど、 権限によっては、参加できるようにも。 ドメイン参加のアクセス権関係は、あまりいい資料が みつかりにくいかも。いろいろ、試行錯誤しても 持ってるのが書籍情報だけだとわかりにくそう。 ドメイン参加専用のユーザを作るとか。 >>388 お礼遅くなりましたが、ありがとうございます。 助かりました。 SIDからドメインのユーザ名を特定することって出来ないのでしょうか? やりたいことはVBScript(WSH)でセキュリティポリシーの設定を 取得したり設定したりするツールの作成です。 seceditコマンドで設定をエクスポートすると、「ユーザ権利の割り当て」 等の項目はユーザ名がSIDで出力されます。ローカルユーザは WMIのwin32_accountを使ってユーザ名を特定できたのですが、 ドメインユーザはwin32_accountでは取得できません。 逆にドメインユーザ名からSIDを特定する方法として dsquery user -samid domain\user | dsget user -sid があるので、最悪の場合使用が想定されるドメインユーザのSID一覧を あらかじめ作成しておいて照合するしか無いか?と諦めかけています。 どなたか良い方法をご存知でしたら教えて頂けないでしょうか。 超ど初心者です。 Computerコンテナに10ぐらいのPCがあって、Userコンテナは権限の異なる10ぐらいのUserがいます。 やりたいこと 特定のComputerのみに誰でも(どのUserでも)リモートデスクトップでログインできるようにしたいのですが、どうすれば良いですか? ヒントサイトだけでも良いので教えてください。 >>400 同時にログインできるのは2人までだけど、本当にいいの? >>400 自分ならRemote Desktop UsersグループにDomain Users追加しますね。 ADでいい方法あるのかな。 ADSIでGCの内容ってみれるんでしたっけ? ご存知の方いらっしゃいましたら教えてくださいませ。 今、システムのテスト中なんだけど、ラッシュテストを行う際のADの負荷を計測 しろと言われてます。特に、ADに対して、LDAPのリクエストが発行されている 量・頻度を記録するように、と言われてます。 何か、良い方法ありますか? あるユーザが所属しているOUをPCのコマンドプロンプトから確認したいです。 グループの確認は net user <ユーザ名> /domain で確認出来たんですが…。 ADにログインして確認するのではなく、 PCのコマンドプロンプト上から確認したいです。 gpresultでスイッチ調べましたがうまくいきませんでした。 どなたか教えて下さい。お願いします。 補足させて頂きます。 gpresult /user <ドメイン名>\<ユーザ名> すると「SID情報を取得中…」と、いけそうになるのですが 「情報:ユーザー "<ドメイン名>\<ユーザ名>" にRSOPデータがありません。」 と表示されてしまいます。 管理者権限に昇格してもダメでした。 どなたか情報お願いします。 >>407 情報ありがとうございます。 netdom query で出来そうと思い小一時間格闘してみましたが、未だ出来ずorz PCに管理ツールインストールして dsquery user -user tanakaはどう? "CN=tanaka,OU=組織1,DC=testad,DC=testcorp,DC=local" ×dsquery user -user tanaka ○dsquery user -name tanaka >>404 > 何か、良い方法ありますか? パフォーマンスモニタで良いんじゃないの。NTDSオブジェクトのカウンタがたくさんあるでしょ。 >>410 レスありがとうございます。 管理ツールをインストールして、 dsqueryコマンドで確認する方法を取ることにします。 ありがとうございました。 ADのDNSについて、ちょっと気になることがあるので ご存知の方がいたら教えてください。 W2003R2で稼働中のAD、DNSです。 PCを参加させている途中で1台だけAレコードが大文字で表記されているのですが 大文字で登録されるケースと小文字で登録されるケースで何か違いがあるんでしょうか? ほかのホスト名に変えると小文字で登録されるのですが ホスト名以外は同じセットアップを行った同じクライアントで何が違うのかが非常に気になります。 というか、DNSの管理で1台だけ大文字なので非常に目に付きます。 同じような現象にあわれた方で、解決方法をご存知の方がいたら 教えてやってください。 質問です。 Windows 2003 の Active Directory についてですが。 ユーザのプロパティで、ユーザがいつパスワードを変更したか、とか、SIDの確認等が見れるようにする方法が あったかと思います。 確か何かのファイルをWindows上に保存するかインストールする事でできたかと思います。 どなたかファイル名、もしくは方法を知っていたら、教えてください うるおぼえですが、確かそのファイルを設定する事により、ユーザとコンピュータでユーザのプロファイルのタブが1つ増えたはずです。 >>415 運用上の問題はまるでないと思いますが、 エンドから質問されるって不可避の問題が発生してます。 DNSのドメイン名は大文字小文字で区別してないので、問題は起きないはずなんだけどね。 一緒だから製品上の仕様ですで逃げれないのかな? >>419 レス、ありがと。 ホスト名でow-01〜16まで並んでるんだけど OW-01だけが大文字になってるんです。 それを見てから、うるさくてうるさくて。。。 一度、マシン名を他の名前(temp)に変更してから 小文字でow-01と入れなおしてみたんですが、 一時的に小文字になるだけで、次にDNSの管理を開いたときには大文字に変わってしまってます。 ADへの参加しなおしもやってみましたが、駄目で 再インストールは提案したら却下されました。 >>420 AD上に登録されてるコンピュータオブジェクトは大文字になってる?小文字になってる? もし一度大文字のホスト名でAD参加させてるなら、それが影響してるかも。 ・対象ホストをドメインから一度外す ・対象ホストのコンピュータアカウントをAD上から削除 ・DNSで対象ホストのAレコードを削除 ・対象ホストのホスト名が小文字であることを確認 ・再度ドメイン参加 これで直らんかな? 単純に、大文字小文字の区別が無いことをMSのソースで示せればいいなら、 ここを読んで解釈すればいいような気もするが。 登録は大文字小文字を区別するが、 クライアントや他のDNSに返すときは一律で小文字で返す、 と書いてあるように見える。 ttp://technet2.microsoft.com/WindowsServer/ja/library/4f9d39f0-5001-44fc-a75e-922b408165091041.mspx?mfr=true >>421 レス、ありがとうございます。 コンピューターオブジェクトはクライアント、サーバ、すべて大文字です。 ドメインからの離脱は一度試してみました。 その際の手順は、下記のとおりでほぼ同じです。 ・ドメインから離脱 ・DNS、ドメコンでコンピュータの削除 ・全サイトへの強制レプリカ ・対象ホストを別の名称に変更(ow-01 から temp) ・対象ホストを指定名称に変更(temp から ow-01) ・再度、ドメイン参加 この手順後、一瞬は小文字になったのですが DNSの管理を開きなおしたら大文字に変わっていました。。。 グループポリシー使ってアカウントのログインの失敗情報のログを取る方法って ないですかね? CSVDEのデータだと無駄な部分が多すぎるのと、いろんな項目がバイナリコード で吐き出してくるからどのアカウントでログイン失敗したのかがすぐ 分からないんで・・・ こういうの? ttp://www.monyo.com/technical/windows/35.html 一般ユーザの場合、全DCに「イベントログ」のアクセス権の設定もいるよう。 ある一つのユーザーに、ドメインの中では制限ユーザなんだけど 単一のクライアントに対しては管理者権限を持たせる なんて事はできるのかな? NT40のDCをServer2003のADにアップグレードしました。 この環境にNT40のBDCを追加してみようかと思ったのですが、 NTセットアップ中のドメイン登録でドメインコントローラに接続できません というエラーになって先に進みません。 アップグレードしたServer2003は混在モードなので、いけると思ったのですが。 何か情報ありますでしょうか。 メンバーが少ない拠点には、アカウントの複製だけで十分だと思ったので、 あえてNT4のBDCでも置いてみようかと思ったのですが、 無理でしょうかね。 BDCとしてセットアップするPCの、NICのドライバを正しく入れてます? ルータを越える必要があるなら、LMHOSTSをインポートしています? それ以前に、すでにサポートの終わったNT4を使うリスクは認識してます? 業務に使うなら何かあったときにサポート終了したから対処できませんでは すまないでしょうに。 DCのアップグレードもそのためにやったんじゃないの? 400人くらいの会社で AD導入しようとおもってるんだけど 朝9時出社時にどのくらいのネットワーク帯域を 確保しておけばいいのでしょうか? シングルドメインで、組織構成も簡単。 部門も10個くらいしかなく、 プリンタとかファイルサーバーとかもそんなにありません。 NTTに聞いたら10−20Mの帯域は覚悟しておけって いわれたんだけど。 >>434 WANか? 400人全員がWAN越しで認証かけるなら100Mbpsの回線でどうぞ、安いし 移動プロファイルやログオンスクリプト使うなら、そのデータ量に併せて計算ね LANだったらGbE x2のFTで十分 >>436 広域イーサか 認証だけでも集中するなら20〜30Mbpsくらいあったほうが良いかもね そんなに帯域必要とするのかぁ・・・・ 5Mもあれば十分だとおもってた。 ファイルサーバに aaa\bbb というユーザでアクセスすると netbtを利用してドメインコントローラ(?)を探しにブロードキャストにパケット 送るみたい(パケットキャプチャの内容から) この余計なパケットをやめさせる方法はありますか? UDP/137の名前の解決かな? なぜ余計と思う?WINSサーバ使うようにすれば、 ブロードキャストは減るかもだが、 WINSサーバとは通信するのでは? ホストをFQDN指定した場合は、DNSサーバにも 問い合わせるかも(そう出なくても問い合わせてるかな)。 UDP/137をFirewallで止めると何が起きるか? やってみては? ある特定のPCにdhcpサービスでリースされたipを クライアントのコマンドプロンプトから特定する方法を知りたいです。 dhcpサービスを持つサーバは2台あります。 nslookup <コンピュータ名> だと同期前の古い情報しか取れない為、 同期が取れるまで待つか、それぞれのdhcpサーバに リモートでログインしてリース情報を確認している現状です。 nslookup <コンピュータ名> <dhcp1号機> nslookup <コンピュータ名> <dhcp2号機> のようなスイッチも見つけられませんでした。 手の届く範囲であればipconfigで十分事足りるのですが、 遠方の拠点のPCを対象に調査したいのです。 サーバはW2003、クライアントはWXPです。 ActiveDirectory環境です。 お分かりの方、ご教授お願いします。 nslookupの使い方ってことだと、 nslookup -querytype=a www.yahoo.co.jp <dhcp1号機> とか? <dhcp1号機>がDNSサーバもやってて、DHCPと 同期できるなら。 2008だとできるようだが、2003だとどうなんだろ。 動的更新は有効になってないの? ttp://www.atmarkit.co.jp/fwin2k/operation/adprimer006/adprimer006_02.html それか、自分の端末ならGUIでもOKってことなら、管理ツール入れてそこからDHCPサーバに接続して リース情報確認するとか。 コマンドでもできないことはないでしょ。 ttp://www.google.com/search?num=50&hl=ja&q=dhcp+netsh+show+clients netsh dhcp server \\192.168.1.1 scope 192.168.1.0 show clients 1 | findstr "対象ノード名" とか。実際には試してないけど。 >>442 >>443 情報ありがとうございます。 DHCP1号機がDNSやってるかとか、 動的更新が有効かどうかも設定をみてみます。 そもそも動的更新が有効だったら、本件も即解決です。 トラフィックの点とかで問題出てくるんでしょうか。 まず、頂いた情報を元に色々試してみます。 まだまだ検索の仕方が悪いと実感しました。 ありがとうございました。 ADでアクセス権設定してる単体のファイル鯖なんですが DCが落ちた場合は即アクセスできなくなるのでしょうか? ファイル鯖側でもアクセス許可のキャッシュみたいのがあって DC落ちても既存フォルダにはアクセスはできるのでしょうか? Jiro Tanakaが「所有者(owner)」になっている配布リストの一覧を出すDOSコマンドを教えてくだすい。 1台のPCにADユーザが複数ログインしていて ログインした分ローカルユーザプロファイルが出来るんだけど このプロファイルを同一フォルダに統一とか共有することって出来ますか? 環境:移動ユーザプロファイルは使用していない。 固定ユーザプロファイルは使用したくない。 すいません。アドバイスください。 前任者からWORKGROUPからドメイン参加を引き継いだ者です。 ドメイン参加後、ローカルPCのAdministratorsにDomain Adminsが登録されて いないことが判明しました。使用者はDomain Usersとなっています。 AdministratorsにDomain Adminsを参加させる方法はありませんか? そのローカルPCは、遠地のため直接操作する機会がなく困っています。 コンピュータのログインスクリプトでAdministratorsに参加させるwsfを実行していますが 権限不足なのか、反映しません。 mmcでリモートPCにアクセスしてローカルグループの追加をしましたが 「アクセスが拒否されました」で追加できませんでした。 TSは、TSGatway? はじめて聞きましたググってキマス。 ありがとうございました。 >>452 mmcはダメだよな、失礼 mstscでリモート接続できればローカルアドミンで入れるだろうけど 接続先のリモートデスクトップ、Pc-anywhereのFWがOFFなので 途方に暮れていました。TSは試していませんが一度、試してみます。 2000で既存のドメインコントローラ追加時に レプリケーション相手の指定はどのようにすれば よろしいのでしょうか。 後からレプリケーションの方法もあるのでしょうか。 教えてください。 >>455 通常は自動設定済み 色々いじりたいなら「Active Directory サイトとサービス」 >>456 ありがとうございます。 通常時のレプリケーションはサイトでわけるのは わかるんですが、dcpromoで既存のドメインに追加 インストールするときです・・・。 >>457 だから「Active Directory サイトとサービス」 だって dcpromo中は複製に関する設定は無い >>457 DNS使ってDC探すなどしてるので、DNSの指定ができてれば、 順調に進んでレプリケーションもはじまるかと。 すいません、教えてください。 同一LAN・同一DC で利用中、ユーザーの席替えがありました。 席替え後に移動前と同一のIDでログインした時に、移動ユーザープロファイルが反映されなくなってしまいました。 (デスクトップの内容など) 原因としてはなにが考えられるでしょうか。 ご教授お願いいたします。 Windows Server 2008のActive Directoryで、 ユーザアカウントとグループアカウントをスクリプトで 作ることになったんだけど、属性名がさっぱりわからん。 "l"が市区町村だとかなんて情報はどっから得るの? MSDNやリソースキット見たんだけどわからん。 OSが不正にコピー&インストールされプロダクトIDが被ってるクライアントが居る状態で ドメインを構成するとどうなりますか? 多分、公式サポートに聞いても教えてくれないでしょう。 スタートアップスクリプトってUNCパスサポートしてないことに今気づいた んだけど、、、他に逃げ道ある? 各クライアントの端末情報を集めたくて、ipconfigとかの標準出力を 共有サーバに出力したいんだけど。 ちなみにログオンスクリプトはドメインログオンしてない人が多いので、 使えません>< >>466 スタートアップスクリプトでは Windows 共有は素だと無理 タスクスケジューラの起動時を使うといける もしくは、スタートアップスクリプト内で net use 接続 ただパスワードをベタに書くからお勧めはしない >>464 どうなるかはわかるけど教えない。常識だし。 Windows Server 2008 Active Directory スキーマで "user"クラスの"cn"属性は、"mailRecipient", "posixAccount", "person", "top" 4クラスから継承しているようなのですが、"user"クラスの"cn"属性に値を設定するとき、 どのソースクラスの属性であるか意識する必要はあるのでしょうか? また、ソースクラスによって同じ属性でも必須だったりオプションだったりするのですが、 結局、継承先の属性は必須になるのかオプションになるのかわかりません。 ご存知の方がいましたら、教えてください。 AdobeFlashPlayerをサイレンとインストールするようにしたけど、 Flash使ってるHP見るとユーザの権限不足(PowerUser)の為に設定で こけてしまっている。 結局Admin権限ないとインストール出来ないだったら意味ないし、 何かいい解決法ないか教えてエロイ人。 >>464 ってVista以外なら実は問題無さそうだけどな。 社内システムでなにやら、「Active Directory」というものを使おうとしてます。 そこでActive Directoryはどのようなことができるのでしょうか? システムに制限が掛けられる??? ただのクライアントの私には関係ないのでしょうか? お分かりの方よろしくお願いします。 タダのクライアントなら管理者のなすがままなので流れに身を任せてください。 >>473 ドメインユーザに一律でポリシーを当てられる。 それくらい。 ワークグループでの管理とActive Directoryでの管理でセキュリティ的に違いはありますか? 管理者がクライアントの管理が楽になるかならないかの違いですか? よろしくお願いします。 ※ただしドメインコントローラが正しい時刻を知っている場合に限る 2008からのNAPは、それなりに使えるんじゃね? それまでは、サードパーティ製に頼ってたことが、2008だけである程度実現できるようになったわけで。 クライアントがXPSP3以降に限定されてしまうけど。 誰がどのPCを使っているか書かれたリストをなくしてしまい困っています。 ドメイン参加の250台ちかくPCがあるんですが、最後にログオンした人をそれぞれのコンピュータ名で知る方法はありますか? または、アカウントがどのPCにログオンしたのかでも分かればいいです。 ドメイン参加してるんならリモートからレジストリ開いて Winlogon の下の DefaultUserName でも 暇な時にえっちらおっちら調べれば良いんじゃないの。バッチにするなりなんなりすれば流すだけだし。 全台数上がっているならリモートから覗くでも良いだろうけど、 ログオンスクリプトで echo %COMPUTERNAME%,%USERNAME%>\\server\share\%COMPUTERNAME%.txt の方が楽 もっと色々やりたいならWSHでCIMV2たたくとか Windows Server 2008 ロックアウトを解除するプログラムを作成したい。 しかし、Active Directory が、どこの属性の値を判断して ロックアウト状態であると認識しているかわかりません。 UserAccountControlのフラグの説明を見たら、 ms-DS-User-Account-Control-Computedに置き換わりましたと 記載されていたのですが、簡易プログラムを作成して属性の値を見たのですが、 ロックアウト状態でも値が0のままでした。 それともう一つ、ADSIエディタでms-DS-User-Account-Control-Computedの 属性が表示されないのですが、仕様ですか? >>483 ttp://msdn.microsoft.com/en-us/library/ms676843(VS.85).aspx ttp://en.csharp-online.net/User_Management_with_Active_Directory%E2%80%94Determining_Account_Lockout ttp://forums.techarena.in/active-directory/646125.htm ttp://dunnry.com/blog/CategoryView,category,Lockout.aspx 何を以てロックアウトであると判断するのか、であればlockoutTimeを見るのが良いのかね。 手元の2000 AD環境でロックアウトさせてみたアカウントのlockoutTimeに0を突っ込んだら(デフォルトはnot set)、解除されたよ。 ms-DS-User-Account-Control-Computed の方は2008の環境がないのでわからんね。 WEB認証をLDAP認証にしたいけど ADは入れられなかったので ADAMで作成しているんだけど。 作成したユーザのパスワード変更を WEB経由できなくてはまっています。 成功例があれば教えてもらえないでしょうか? phpldapadminだとuserPasswordが 表示されないのは型が違うからだと思うので やっぱり、ADSIを.netとかWSHでゴニョゴニョなのかな… ホームフォルダとは、何に利用するために設定するのでしょうか? リソースキット等の書籍を参照しても、説明が載っていません。 そもそもホームフォルダとは何ですか? ログオン時のカレントディレクトリがその場所を指しているぐらいしか分かっていません。 DCとなるPCに複数のIPアドレスを割り当てたまま、 一つのドメインを構築するとどうなりますか? >>487 ユーザ毎の作業机みたいなの? >>488 別に。 ドメインは、そういうネットワークセグメントの制限を超えて管理することができることも特長の一つだから。 >>487 > ホームフォルダとは、何に利用するために設定するのでしょうか? セキュリティーの強化の為にあると思ってくれたらいい ローカルにフォルダ置くと情報漏洩の恐れがある(PCの盗難など) そこでサーバーに置くように指示すればリスク減るわけ 特定のアプリを実行するバッチファイルを作成して グループポリシーのログオンスクリプトに設定して 正しく動作する事を確認しました。 ただ、同じバッチファイルをログオフスクリプトに 設定してもまったく反応しません。 バッチファイルで実行するアプリがネットワーク先(\\サーバー名\〜)で ある事が原因のような気がしますが、解決方法が分かりません。 理想を言えば、シャットダウンスクリプトで実行したと思っています。 何かアドバイスをお願いします >>494 バッチファイルは以下のみです。 START \\ServerName\hogeFolder\AppName.exe >>495 start /wait 〜 ではどう? あと、シャットダウンスクリプトだとネットワーク共有のアクセス権に注意 >>496 ありがとう御座います。 教えていただいた方法で試しましたが、どうにも正しく完了まで待たないようなので VBScriptを作成してプロセスが消えるまで待つと言う方法で対処する事にしました。 (実行するアプリが完了していないのに、完了したと報告してしまうのかも知れません。) 以下、ネット巡回で見付けた方法 > Set objWMI = GetObject("winmgmts:") > Do > Set objProc = objWMI.ExecQuery("select * from Win32_Process where Name='hogehoge.exe'") > WScript.Sleep 1000 > Loop While objProc.Count > 0 今度ADの設計をやることになったんですけど、 顧客要件のヒアリングのコツってありませんかね? 研修を除き、今までほぼノータッチできたもので…orz >>502 古館のフォイテク!フォイテク!を思い出したオレって・・・・・・ すみません、AD関連に詳しい方、ご教示をお願いできませんでしょうか。。m(__)m ドメインユーザーがクライアントにログオンした時の、壁紙を固定化させたいというときに、 「グループポリシー」の「ユーザーの構成」から設定することは可能ですよね? ドメイン配下にA及びBというクライアントがある場合、 それぞれにドメインユーザーがログオンすると、同じ壁紙が設定されることと思います。 これを、Aにログオンしたときの壁紙とBにログオンしたときの壁紙を 分けて設定することはできないのでしょうか? 「コンピュータの構成」からできるような気がしたんですが、それらしきポリシーがありませんorz 何とかこの問題を解決できないものでしょうか? >>504 ユーザーAとBをAD上で別のセキュリティグループにする グループポリシーでAが所属するグループには壁紙AをBが所属するグループには壁紙Bを ってのはだめ? >>505 ドメイングループポリシーからは出来ません ユーザログオン後の壁紙設定はドメインユーザ固有の設定なので、 コンピュータ毎に別々の壁紙で固定としたいなら、 ・ドメインユーザのグループポリシー設定を外す ・各々のコンピュータのローカルユーザポリシーで壁紙を設定する ・各々のコンピュータのgpedit.mscで コンピュータの構成 - 管理用テンプレート - システム - グループポリシー - ユーザーグループポリシーループバック を有効とする といったことが必要 >>506 >>507 レスどうもありがとうございますm(_ _)m 調べていたら、レジストリ変更でにてコンピュータ毎に、 壁紙の固定化を強制できそうですので、こちらでやってみることにします。 http://www.windows-world.jp/tips/-/10661.html >>508 そのやり方はHKEY_CURRENT_USERの修正なので、一旦そのユーザで ログオンしてからそのユーザで修正する必要があります つまり、ログオンした先で画面の設定から壁紙を選ぶのと同じ それで良ければどうぞ >>509 レスありがとうございます。 実際やってみましたけど、その通りでした。 正攻法は>>506 さんのやり方ですね >>507 さんのはちょっと複雑(;^_^A 残念ながら、ユーザーの所属グループを変更するのは難しいので ユーザー作業で、初回ログオン時に壁紙変更をしてもらうことにします(アナログですが。。) ぼーっと読んでると途轍もなくややこしいな。グループポリシー BDC導入はやっぱり必須なんでしょうか。 導入することに伴う煩雑化は発生しますか? >>512 ADの場合BDCじゃないけどね 重要なドメインだったらDCは最低二台 運用は一台と大して変わらないけど、操作マスタの移動とかは知っておいたほうが良い >>513 ありがとう。 ちっちゃな会社なので、1DCでの構築+グループポリシーのみしか やったことがなかったので、ちょっと調べてみます。 >>514 一台だけだと壊れたときに目も当てられないからね 操作マスタの操作はntdsutilでどうぞ 2台とか怖すぎる、2+別室にもう一台の3以上でお願いします;; 移動プロファイルを設定したのに壁紙などが引き継がれない どうしてなんだろ… WindowsServer2008を使用しています。 デフォルトでは、管理者でない、普通のドメインユーザーでも、 10台までならPCのアカウントをAD上に作成出来ますよね。 でもこれでは、一般社員が持ち込んだ私物PCが、管理者の知らぬ間に ADに作成されてしまいます。 「コンピュータアカウントの作成権限」を、普通のユーザーから取り上げる、 または、一部のユーザーにのみ許可する、という設定は どこから行えばよいでしょうか? つ ms-DS-MachineAccountQuota WORKGROUP環境からADへ移行した時に、クライアントのユーザーデータを moveuserでADアカウントへ移行した。その時に起きた事と、どう対処したかの 私用メモ。当分dat落ちしそうにないし、いいよねw 長くてごめん。 クライアント:Windows XP SP2〜3 10拠点100台くらい ドメインコントローラー:Windows Server 2008 Standard ローカルユーザーアカウントtestを作成し、Administratorsグループに 所属させ、パスワードを付与し、testアカウントにログオンして作業。 ↑ 最初はAdministratorで作業しようとしたが、最初の端末がAdministratorで 運用されてたので、作業用に別アカウントを作成する事にした。 結局、Administratorで運用されてたのは3台あった。 moveuserコマンド実行時 ・Error 5(2かも。作業メモが汚くてよくわからん状態) 移行元アカウントのデータがあるフォルダに対し、Administrators グループのアクセス権がなかった(user01というアカウントだとすると、 C:\Document and Settings\user01フォルダのアクセス許可エントリの 内容が、user01にフルコントロールの1行だけ、所有権もuser01だった) ので、アクセス許可エントリの内容にAdministratorsとSYSTEMそれぞれ フルコントロールで追加、所有権をAdministratorsに変更した。 ↑ なんかうまく行くようになっただけで、正しいかは不明。 ・Error 1317 既にmoveuserの処理を行っていた。疲れていたので休憩した。 よく見たら Windows XP Home Edition だったので、 Professionalに入れ替えた。 ・Error 1332 アカウント名のスペルが間違っていたので、スペル間違いを修正した。 moveuser実行後、ADアカウントでログインした時 ・壁紙が表示されない、デスクトップのアイコンがない アクセスが拒否された旨のメッセージが表示されたため、 前述のError 5(2かも)の時と同じ対処をした。 但し、1台だけどうにもならないのがあった。サブフォルダ以降に アクセス許可エントリの修正が反映されず、数百ファイルを手動で 修正したが根が尽きた。古いPCで運用5年目であったため、掃除も 兼ねリカバリをかけ、復旧。 ・Office2000、Acrobat Readerのデータファイルのアイコンが、 関連付けなし状態になった ・いくつかのアプリケーションアイコンが地味なものに統一された アイコンファイルの在処を調べると、%systemroot%Installer フォルダにあるはずという事がわかったが、この現象が発生 している場合、そのフォルダの中身がカラだった。 当該アプリケーションの再インストールを試みたが、削除も できなかった。 現象が発生していない他のPCでも参照先のフォルダは同じか 似通ったものであったため、Office2000についてはフォルダを コピー、Acrobat ReaderについてはWindows Install Clean Up でインストール情報を削除後、再インストールした。 こんなもんか。トータルでは楽できたから良かった。 最後のInstallerフォルダの中身消失はどうすれば防げるのか・・・ 一時的にリードオンリーにでもすればいいのかな? Windows 2003 Serverでサーバが物理的に故障した際に、 別のサーバーのWindows 2003 ServerにバックアップからADを復元し 修理期間の間の代替え機として使う事は可能でしょうか? >>530 事前にバックアップを検討しておけよ ってかサーバー機が1台しかないのか? レスありがとうございます。 >>531 サーバー機は1台です。 >>532 可能なようで安心しました。 2台で運用してくれると助かるのですがね… 同じHW構成のサーバであれば、 ADの復元も難しくないのかも だけど、違うHW構成のとこに 戻す必要があるなら、安心せず、 手順を確認した方がよいかも。 常識的に考えてサーバーは二台以上立てないと そんなに冗長性を無視したいのか? バックアップがないならむしろADなんか使わない方がいい 中小相手の仕事してると、1台で運用しているところなんてたくさんあるよ 顧客がメリデリ踏まえたうえで1台構成でいいと言ってきたら、強引に2台目を構築するわけにもいかないしね >>537 代替機が準備できるんなら最初から二重化しておけってことだろ 痛い目に遭うのは自分たち(中小企業)なのにね・・・ >>538 馬鹿だな。代替機を中小企業が用意する訳無いじゃないか。 売ったとこが用意してやるんだよ。 >>541 それじゃ客もSIerも馬鹿だね WGの方が安全だな ActiveDirectory(windows2003)を利用してます。 新たにプリンタを追加しまして、現在はそれに直接IPを割り当てて ネットワークプリンタとして利用し、クライアントには個別でドライバを インストールしてます。 これをクライアントログイン時に自動的に共有プリンタとして 割り当てたいのですが、どうやれば宜しいでしょうか? 尚、プリンタサーバを利用しないことが前提です。 wshNetwork.AddWindowsPrinterConnectionだと \\Server\Printerとかやらなければならないと思いますが、 今回はプリンタサーバを利用したくないので やり方があればお教えください。 ログオンスクリプトでプリンタ追加のサイレントインストールスクリプトでも流したら? プリントサーバ使ったほうが楽だと思うけどね プリンタをStandard TCP/IP Portでインストールしちゃだめか・・・ すみません、ちょっと質問です。 プライマリのドメコン:2008 Standard、機能レベル2008 セカンダリのドメコン:2008 Standard、機能レベル2008 DNSサーバ:ドメコン以外のサーバ という環境なのですが、セカンダリのサーバをメンテナンスのためシャットダウンするとします。 その際に、何か気をつけておく必要がありますか? 普通にシャットダウンするだけで、メンテナンス後、電源投入でプライマリからレプリケートされ 問題なくセカンダリのDCとして使えますか? 初歩的な質問ですみません。どなたが教えて下されば助かります。 別にどっちをシャットダウンしようが問題ないから安心しろ。片系停止中の複製エラーだけ無視すればよい。 助けてー。 セキュリティーグループをADに新規に追加して、 該当のユーザーの所属グループに追加しました。 そのセキュリティーグループを共有フォルダのアクセス許可にフルコントロールで追加 したのですが、実際にアクセスしようとするとアクセス権がありませんと 拒否られてしまいます。 このセキュリティーグループ以外はありません。 (Evetyoneを追加すれば当然見れます) 念のため、セキュリティにも同じのをフルコントロールで追加しても同じです。 何か基本的な事忘れてますか? ■新規作成したセキュリティーグループ ・グループスコープ … グローバル ・グループの種類 ・・・ セキュリティ ・メンバには追加したユーザーが表示されています。 >>549 ありがとう御座います。 NTFSのACL って、フォルダのセキュリティ→詳細設定の画面の事ですよね? それであれば、フルコントロールになっています。 ファイルサーバ?だとすると、 「共有」のタブの方でのアクセス権 の設定とか? グループにユーザー追加してからログオンし直してないとか? a.example.comとb.example.comというDNSドメインがある時に、 DCをa.example.comだけで運用するって可能? それとも、DNSドメインごとにDCが必要になる? このカテゴリーに入るのか分かりませんが、フォルダのアクセス権を 人ではなく、アプリだけにする事って可能ですか? やりたい事としては、Excelファイルを保存してある共有フォルダがあるのですが、 そこへのアクセス(参照や更新)は、ソフトウェアを利用したアクセスだけにしたいのです。 >>553 >a.example.comとb.example.comというDNSドメインがある時に、 >DCをa.example.comだけで運用するって可能? >それとも、DNSドメインごとにDCが必要になる? 何をやりたいの? example.comは、正規のドメイン?おれおれドメイン? a.example.com、b.example.comは既にあって、 BIND使ってるとか? もし。会社のドメインがexample.comで、そこに a部門、b部門があるなら、ADドメインは、 a-ad.a.example.com b-ad.b.example.com のような感じで普通のドメインの下に AD専用ドメインを設定したいかな。 >DCをa.example.comだけで運用するって可能? この場合、b.example.comのパソコン、サーバも a-ad.a.example.comのドメインに参加すれば、 b.example.comドメイン配下のホスト名でも a-ad.a.example.comドメイン配下のホスト名でも アクセスできるようにはなる。 >>554 今ひとつ意味がわからんけど、ようするにExplorerでフォルダの内容を表示したくないって事か? >>557 よくわからんけど ソフトウェアを利用したアクセスって、Excelを起動して「開く」→共有フォルダのファイル ってこと? んでソフトウェアを利用しないアクセスって直接、共有フォルダのファイルをダブルクリックするってこと? アクセス権のアプリにするのはさすがに無理 アプリを使うのも人だし >>558 そうです。 >>559 例えば、Excel VBAとかで 他のブックを操作する事が出来ますが、 そのVBA経由の操作は許すが、他のブックを直接開いて編集するような事を制限したい。 例: 共有フォルダ ・・・ A.xls (直接ユーザーに編集して欲しくない) ローカルPC ・・・ B.xls (VBAを利用しA.xlsのセル情報を更新する) こんな感じなんですが、無理でしょうか・・・。 更に言うと、ある特定の人だけ、A.xlsのファイルを直接編集できるようにしたい。 B.xlsにパスワードかけて、A.xlsのマクロで触りにいけばいいんじゃない? A.xlsのNTFSアクセス権で、使うユーザのみに権限与えれば特定ユーザのみ開けるようになるんじゃないかい まぁ、これは例題に対しての対処療法なので、他のアプリが同じようにできるとは限らないだろうね アプリ限定で、アクセス制御できるなんてきいたことないわ 初歩的な質問で申し訳ないのですが、 セキュリティグループで、ドメインローカルグループやグローバルグループをネストする、っていう解説があるんですが ネストというのはこの場合どういった意味合いを指しているのでしょうか? プログラミングだと入れ子といった意味のようですが、 ユニバーサルグループだと フォレスト内のユーザー、グローバルグループ、ユニバーサルグループをネストするとってのは 上記3つのユーザやグループを一括りのものとして設定(もしくは定義)する、という考え方でいいのでしょうか? こんな質問をここでしたらいいのかわかりませんが、ネスト自体を当たり前のように書いているHPしか見つからないので どなたか教えていただければ幸いです……。 GPOを使用したパソコンへのアクセス制限について教えてください。 以下の場合を想定しています。 1.特定(管理者)グループのみのドメインコントローラへのアクセス 2.クライアントPCに自分のアカウント以外でのアクセス拒否 3.信頼関係のあるドメインからのログインアクセス拒否 (PCがAドメインに属している場合、信頼関係のあるBドメインユーザーの拒否) この時のログインに使用するアカウントはドメインアカウントを指します。 わかりやすく説明してあるサイトがありましたら教えてください。 また、このあたりが出題範囲になるようなMCPの資格本を勉強したいのですが どれか分かりますでしょうか?(70-290とか) >>565 そこまで状況を限定した内容について書いている本など無い まずGPO以前にグループポリシーのネストについて勉強して、 クライアントPCに対して限定的に制限を設定する方法を勉強する その上で、GPOがどのような順位で優先的に適用されていくか (AD上のドメイン<サイト<親OU<子OU<PC内ローカルルール) をしっかりと理解し、どこにGPOをリンクさせるかを検討しなければならないが、 実際のところは実機なり仮想環境なりでシミュレートを行ってそれが正しく適用されるか 試してみるのが一番理解できる 本については、2003 Serverでは少なくとも赤本では無理 2003 Serverなら最低限R2対応の解説書(俺の知る限りSP2に対応した書籍は無い)か、 もしくは2008のAD関連の参考書を立ち読みでもして、 自分の求めている説明に近いことが解説されている本で勉強する以外無いと思われる ASP.NETでUser.Identity.NameでログインユーザーIDとドメインは取得できますが パスワードは取得できないでしょうか? セキュリティがらみで無理だとは思うのですが、そこをなんとか取得 できないものでしょうか? エクスプローラでマイネットワークからサーバが表示されないPCがある なんでかわからん ファイアーウォール関係ある? Hyper-VゲストにDCおいて、Hyper-Vホストのドメイン参加ってできるのな。 しらねかったよ。ホストにHyper-Vのエラー出るけどしばらく様子見してる。 できない理由が思いつかないけど どんなエラーでるの? Hyper-V-VMMS サービスプリンシパル名を登録できませんでした。 と、でるんですが、起動時だけなのでおそらくスレ違いかなと。 当然起動時にはDCが見当たらない旨のエラーはでるわけで、 その他、時刻の同期についても検討しなければならんかも〜 ActiveDirectoryのパスワードってパスワードがそのまま保存されているのでしょうか? あるいは、不可逆なハッシュ値のようなものが保存されているのでしょうか? >>577 平文なのですか?なるほど。それなら取り出せそうですね。 たびたびすみません。 ActiveDirectoryに登録されているユーザーの属性が変更されたことを プログラム(ADSI?)から監視してActiveDirectoryからの変更イベントを 通知してもらうようなことはできますか? それともポーリングするしかないでしょうか? >>579 セキュリティポリシーの監査だけでは不足かい? >>580 ありがとうございます。 イベントログを監視するということでよいでしょうか? >>581 そう。監視する仕組みあるならそれだけでよし。 通知するならプラスeventtriggersでメールかなんか発砲 特定のPCだけに自作の弁当注文アプリをインストールさせるにはどうすりゃいい? >>582 ありがとうございます。ちょっと試してみます。 >>583 ローカルアカウントでログオンしてインストールしろ ADと信頼関係を結んだMIT Kerberosがあり、 ログイン時の認証はMIT Kerberosでやって、 ユーザ情報などはADのものを利用したいと考えています。 WindowsだとADのドメインに参加させた後に、 MIT KerberosのKDCをksetupで登録したらできたのですが、 同じ事をMACでやる場合はどうすればいいでしょうか? (MAC版で質問した方がいいでしょうか?) 問題点にMS製品関係ないだろw 売りつけたベンダに聞けよ >>585 一個一個PCにインストールしなきゃいけないの? >>588 特定って一台かと思った。 でも数台ならローカルアカウントあるいはadminでログオンして入れた方が早いだろ グループ組んで当該PC放り込んでグループポリシー作って ログオンスクリプトかなんかで配るとか? 最近触ってないから自信ない >>586 MacOSXをAD参加させて ... ということ? AD参加まではできている? AD参加は、AD-DCに凝った設定をしてないく、 手順がわかれば簡単にできると思うけど、 kerberos関連は、Internetでみつからなければ、 以下の書籍などをあたってみては? (OSXのバージョンによっても、変わるかも) Mac OS Xシステム管理リファレンス1 ディレクトリサービス、セキュリティ、ネットワーキングとファイルサービス ttp://www.borndigital.co.jp/book/detail.php?id=84 英文なら、もう少し書籍があるかも(文献が少ない分野かも)。 >>589 MacのAD参加まではできています。 あとは、/Library/Preferences/edu.mit.kerberosの設定を書き換えて なんとかできないかなと思っているのですが…。 紹介して頂いた書籍のディレクトリサービスの管理は興味深いですね。 あとは書籍と色々サイトを調べて地道に試していくしかないですかね。 ActiveDirectoryの代わりにopenLDAPでも統合Windows認証って できるんですかね まともに動かないよ。 サポートしてくれるとこがないならやめといた方が無難。 Active Directoryのテスト環境を作りましたが、不明点がありまし ■サーバ OS:2008 ホスト名:SRV01 ドメイン名:test.local IPアドレス:192.168.0.10/24(static) 役割: ・ADDS ・DHCPサーバ(スコープ範囲192.168.0.11〜20) ・DNSサーバ(AレコードにSRV01=192.168.0.10のみ登録) 上記ドメインにXP-Proのホスト名「XP01」というコンピュータを参加させました。 IPアドレスはDHCPで取得し、192.168.0.11が割り振られました。 DNSの前方参照を見ても、サーバのAレコードは登録されていますが、 勿論XP01=192.168.0.11なんて情報は登録されていません。 この場合、XP01が192.168.0.11であるという情報はどこに登録されているのでしょうか? DHCPクライアントなので192.168.0.11から変更になった場合でも、 >nslookup XP01 で 192.168.0.15(例) などのように変化するアドレスに対応できなければいけません 初歩的な質問ですみませんが、どなたかご教授くださいませ >>595 まずは2003の話でごめんって謝っとく。 んで、普通にドメインに参加した状態ならDNSの前方参照に登録されるはずだよ? XP側の設定でTCP→DNSタブでこの接続をDNSの登録に使うとかいうチェックボックスはONになってる? なってるようならipconfig /registerdnsをクライアント側で実行 DNSの登録情報をF5連打でどぉ? >>596 ありがとうございます! 早速試してみますね 「ログオン時間の有効期間が切れたときに実行するアクションを設定する」というポリシーについて 教えてください。 DC Windoes Server 2008R2 クライアント Windows 7 x64 ultimate DCにて、強制ログアウトというGPOを作り、ユーザーの構成、管理用テンプレート、Windowdコンポーネント、 Windowsログオンのオプション、「ログオン時間の有効期間が切れたときに実行するアクションを設定する」を 有効にして、アクションにロックを選択しました。 次に、ユーザtestのプロパティのログオン時間でログオン拒否の時間帯を設定しました。 クライアントマシンにtestでログオンして、ログオン拒否の時間になると、強制的にロックされるという 動作を期待しているのですが、働かない場合があります。 最初にはまったのは、クライアントマシンにてAD\testユーザに管理者権限を与えた場合にアクションが 無効になっていました。これは考えてみたら、当たり前の話ですね。 クライアントマシンに問題のユーザの管理者権限が無い状態にして、ドメインのユーザー権限もDomain Usersにしてあると、一見正常に動いているように見えたのですが、他のマシンやユーザで強制ログアウトが 働かない場合があります。 正常に働かないマシンにて、問題のユーザでgpresult -vを見たら、ポリシーに関しては設定されていることを 確認してあります。他にこのポリシーが働かなくなる条件があるのでしょうか。 パソコンがAD配下にありDHCPとWINSが複数あるんだけど、 インターネット閲覧が遅いと思って何気なくipconfigを 数分毎にやってみるとWINSのプライマリとセカンダリが 時々入れ替わってる。この間パソコンのリブートは無し。 パソコンが遅い理由はさておき、この入れ替わるというのは 何かの条件で起こるものなんでしょうか? サーバー管理者は設定変更してないって言ってるんですが。 >>599 エスパーじゃないので推測に過ぎないが ・DHCPサーバが複数台ある(冗長化されている) ・DHCPサーバのDHCPオプション設定でWINSサーバの優先順位が1台目と2台目で逆に設定されている ・複数台のDHCPサーバは同じ物理的距離に在りどちらが払い出すかはタイミング次第 2003Enterprise Edition(R2では無いです。) ADのフォルダリダイレクトの設定でファイルサーバ上にリダイレクトしてて 設定を「ユーザーに <フォルダ名> に対して排他的な権限を与える」を有効にしてた場合ですが そのデータを別サーバに複製しようとしても出来ないですよね? 複数人のこういったリダイレクトされたデータを ファイルサーバが壊れたときのために複製したいんですが 排他的な権限を与えAdmin権限をもってしてもアクセス権が無い状態では 無理な話なのでしょうか? Backup Operators権限でレプリケートの動作をするようなアプリを使えばよろし。 まぁ、具体的にそんなアプリを見たり調べたことがあるわけでもないが。 手間暇掛けられるんならntbackupとかでバックアップとってリストアするのはできるでしょ。 リソースキット買ったんですが… 何か日本語読みにくい気がするのは気のせいだろうか ADのサーバ一台を処分する際、dcpromo.exeで降格せずにサーバを処分してしまったのですが、 この後AD(2008)から処分したサーバ情報を削除(降格)するにはどうしたら良いのでしょうか? ググるとadsiedit.msc(http://support.microsoft.com/default.aspx?scid=kb ;ja;216498) が出てくるのですが、ここには、 「Windows Server 2008 の場合、管理者は Active Directory ユーザーとコンピュータ スナップインでサーバー オブジェクトを削除することで、サーバー オブジェクトのメタ データを削除できます。 」 とあります。 これは具体的にはどういうことなのでしょうか・・・・。 >>609 もうそれ以上、具体的に説明できないほど具体的です。 書いてあるスナップインでサーバーを右クリックして削除すれば良いと思います・・・。 2003のときはそこで消してもDNSにはちょこちょこ残っちゃったりして困った覚えがあります。 >>610 なるほど・・・。 そのままサーバ名を消しちゃっていいんですね。 後は必要に応じてADにコンピュータ名登録名とかDNS名を削除する、ってことですね。 ありがとうございます。 >>612 まじっすか!? 消しちゃったよ・・・・。 すみません、ActiveDirectoryで誰がファイルを削除したとか分かるようにするにはどうすればいいですか? 2008R2なんですが ファイルをユーザーが削除したかサーバーに問題があってファイルが勝手に消えたか 証明しないといけないんですが。デフォルトの設定だと解析するの無理ですか? AD2003のユーザーアカウントのSIDを AD2008のユーザーアカウントのSID履歴に追加したい Windows 2008 64-bit 上で、CUIプログラムで上記を実施したいのですが、 Windows 2003のサポートツールにあった"clonepr.dll"が、 Windows 2008には存在しませんでした。(サポートツール自体がない?) とりあえず、Windows 2003にあった"clonepr.dll"を使えないか試してみたのですが、 32-bit OS 上だと動作することは確認できたのですが、 64ibit OS 上だとレジストリに登録することすらできませんでした。 DsAddSidHistory(ntdsapi.dll)というのを見つけたのですが、 英語のページしかなく理解できませんでした。 CUIでSID履歴を追加する方法をご存知の方がいましたら、 教えてください。 >>616 > CUIでSID履歴を追加する方法をご存知の方がいましたら、 ADMT v3.1 以下のような場合、ActiveDirectoryに発生する障害について教えてくれ。 社内のActiveDirectoryを管理しているサーバ名が『Server01.company.jp』だとする。 DNSサーバーも、上記サーバーのIPアドレスだとする。 このネットワークに、クライアント『Server01.company.jp』を乱入させたら、どんなシステム障害が出る? (ドメインコントローラの名前とクライアント名が重複している) ActiveDirectoryの参加方法に関して質問。 クライアントからADに参加するときに『サーバーのDomain管理者』のユーザー名とパスワードを入力するよう催促されるよな? となると、数十台のPCを追加した場合、 Domain管理者がクライアント1台1台にAdministratorのユーザー名とパスワードを入力せにゃならんの? それって無駄じゃね? ADのDCでいじってなければ 普通のユーザでも10台まで ドメイン参加できたかと。 ユーザが多いんなら、 ドメイン参加専用ユーザ 作って参加権限を割り当てたり 他の権限をはずしたり? どういうはずし方がよい? 専用のユーザで作業するように しておけば、ドメイン参加、非参加、 再参加などでコンピュータアカウント 作成関連の権限の問題にも ぶつからずに済む。 専用ユーザで作業してない場合、 administratorでの作業が必要に なりやすい? コンピュータアカウントを プレステージングする時も 専用ユーザを使うのが吉? 「普通のユーザ」は、 「普通のドメインユーザ」、 「ドメイン参加用専用のユーザ」 は、「普通のドメインユーザとして 作ったユーザ」で、ドメイン参加の 権限を割り当てたり、 ローカルログオン などの権限をはずしておくなり? ドメイン参加作業自体は、ローカルの 管理者などでないとできないのかも。 ドメインへログインしっぱなし(数ヶ月立ち上げっぱなし)のPCの場合、 そのPCの時間の同期はどのタイミングでおこなうのでしょうか。 どこの設定でおこなっているのでしょうか。 教えてください。 >>622 初期値で2^6〜2^15secの間隔で同期して段階的に長くなっていったと思う W32TimeのRegで調整できたかと。 Network Configuration Operatorsに所属させたいユーザがいるんだけど ActiveDirectoryのコンソールのBuiltinにないのです・・・ 2000サーバーだからなのか不明ですが 何か良い方法はないでしょうか。 共有フォルダ配下のフォルダにアクセスベースの列挙を設定しています 権限は一般ユーザーの一部の人をフルコントロールにしました しかしその結果、アクセス権限の無いはずのユーザーにもフォルダが見えてしまっている状態です domain usersをadministratorsグループに入れてるからかなぁ 100台ぐらいのクライアント(XP)をWORKGRUOPから Win2008のADにmoveuserで移行した >>526 あたりの書き込みが参考になったので そのほか分かったことを追記 Error5で移行できない場合 移行するアカウントでログオンして インターネットのプロパティから一時ファイル、cookieとか削除 ゴミ箱を空にして再起動したら、エラー解決した端末が多数あった デブは使えない 作業が遅い、指示したとおりに動かない、いらんことする 本当に使えない ・ログインキャッシュしたユーザってキャッシュを使わずにログインしたユーザと 内部で持っているステータス(ヒープ領域のサイズなど)が違ったりするんでしょうか? どなたか助けて頂けないでしょうか。 ADのアカウント・グループを一覧で 調べないといけない事情が出来ました。 なんらかのツールかバッチ等が ありましたら、教えてください。 ちなみにOSはWindows2008サーバです。 申し訳ない、質問させてください。 FreeBSD でサーバは、立てることは出来ますが、Windwos サーバはほとんど無知です。 どういう場所かというと、高校の実習室です。 状況説明 ADで構成され、閉ざされた環境のネットワークが、2つ在ります。 その2つ用に、2台のサーバーを作りました。(構成は、まったく同じ) Apache(Webサーバ) Ftpd(Ftpサーバ) tinydns(DNSサーバ) postfix(メールサーバ) 単にクライアントのDNS設定だけ、いじり メール実習やWeb実習をするするつもりでしたが。 実際につないで見ると、うまくいかず。 1つ目のネットワーク Windows2000サーバが2つ入っている。 つなぐと、使えるけど、AD環境へのログオンが遅いのと、移動プロファイルにエラーがでる。 2つ目のネットワーク Window2003サーバとWindowNTサーバ AD環境へのログオンが、めちゃくちゃ遅い、40から50秒くらい。 FreeBSDのDNSが、使えていない。 ここのFreeBSDのDNSで、ドメインを hoge.ed.jp と設定しているのに対して、Windows ADドメインは、locate 何とかでした。 クライアントをADでなく、パソコン自体にログオンすると、FreeBSD 設定のDNSは、使えます。 現在考えていることは、 1.FreeBSDのDNS で、Windows server を登録する。 2.FreeBSDのDNSを使わず、Windows server のDNSで、FreeBSD サーバを登録する。 # この場合、現時点では登録の仕方が、わかりません。 特に、ADドメインと違うドメインを登録できるのか。 この1.2.ぐらいで、上記の現象は、解決できるのでしょうか? 明後日が授業なので、ヒントだけでももらえれば、助かります。 実際、Windows の AD をなめていました。どうせ、NetBEUI や NetBIOS を使うので、DNS は、使っていないだろうと。。。ORZ >>632 とにかく動かしたいなら、 WindowsNTは捨てる ADのDCだけでDNSを動かす クライアントのDNSサフィックスをADに合わせる >>633 ありがとう。やってみます。 ADドメイン(localhost??)と違う ドメインも、使えるのかな? ここが、一番不安です。 >>634 ADは、多分"〜〜.local"では? Windows系は全てAD管理 それ以外のDNSが必要なら別途独立で Windowsクライアント→ADのDNS(〜〜.local)→フォワーダとか→別途のDNS(〜〜.ac.jpとか) で、Windowsクライアントから名前解決は可能 とりあえず設定して今戻ってきた、明日の授業はどうにかなりそうです。 >1つ目のネットワーク >Windows2000サーバが2つ入っている。 の方は、windows server のDNSを設定することで解決した。 ありがとう。 でも、2つ目のネットワークの方は、うまくいかない。 >>635 のいうように >"〜〜.local" だった。 現在のADのサービスは、残したまま、新たにサービスを追加する方法が見つからず、かえって来ました。 >Windowsクライアント→ADのDNS(〜〜.local)→フォワーダとか→別途のDNS(〜〜.ac.jpとか) これ、ごめん無知でよく分からない。クライアント側を設定するの? とりあえず、クライアント側の「hosts」に、書き込んで、名前解決を試みたが。 ADでログオンしても、ping で打つとうまく名前解決できていたが。 IE で、見るとだめ。時間切れでしっかりと確認してはいないけど、どうもプロキシが刺さっているみたい。 それとメールのほうも、名前解決が出来ても、hosts では、メールサーバだと、明示できないよなと思ってしまった。 引き続き、ヒントもらえると助かります。 >>636 クライアントの設定 DNS参照先 ADのDNSサーバIPアドレス DNSサフィックスの追加リスト 〜〜.local(ADのドメイン) 〜〜.ed.jp(もう一つのやつ) ADのDNSサーバの設定 DNSルート(.)があったら削除 フォワーダを有効 フォワード先に〜〜.ed.jpのDNSサーバIPアドレスを追加 この辺参考で http://www.atmarkit.co.jp/fnetwork/rensai/ad04/ad01.html >>637 何度もすいません。 フォワーダというのが聞き覚えない言葉で、ぐぐって概要は理解できたものの、どうやって設定するのだろうと、疑問を持っていました。 参考URLで理解できました。 明日にでもやってみますが、迷惑ついでに「クライアント設定」も必要あるのでしょうか? もしよろしければ、解説いただければと思い。 >>638 ADに参加するWindowsクライアントはADのDNSを参照するようにした方が 何かとトラブルが少ない 工夫すればなんとでもなるけど >>639 ありがとうございました。いろいろと試してみます。 本当にありがとう。 クライアント環境のドメイン移行についてお聞きします。 無難なのがプロファイル移行 OUの制御の委任を解除するにはどうしたらよいでしょうか? 2000から2008へのAD移行を考えています。 ADに触ったことは少しありますが、移行は初めてです。 そこで参考書を買おうと思うのですが、以下の本を読めば移行方法などは載ってますかね? http://ec.nikkeibp.co.jp/item/books/A04600.html また、参考になる本、サイトなどがあれば教えていただければ嬉しいです。 よろしくお願いします。 >>647 ttp://primeserver.fujitsu.com/primergy/technical/construct/#ad01 その参考書には具体的な移行に関する記述はないんじゃないの。 概要くらいは書いてあるかも知れないが。目次にもアップグレードしかないし。 AD+ローカルDNSが設定されたドメインがあります。 サーバーはWin2000で、かつて実機がハード故障でトラブルを起こしたとき、 そのままの構成でVMwareのクライアントに移動して稼動しています。 ユーザーも多くなく、どうしても必要な共有ポリシーもありません。2008の購入予定もありません。 リソースの共有等についてはsamba共有等で足りているので、そろそろADの使用を終了したいのです。 とはいえ、ADのサーバーを停止すると、当然ユーザーのデスクトップへのログイン認証ができなくなります。 そうしたトラブルを最小限に、ADの使用を円滑に終了させるためのノウハウはないでしょうか。 MSのサイトからは、この種の知見が得られないので、よろしくお願いします。ポインターでもかまいません。 PCローカルにユーザ作って moveuserコマンドで PC上のユーザプロファイルの所有者を ドメインユーザからPC上のローカルユーザへ変更するのはどうでしょうか。 >>651 moveuserを使う場合、1台ごとに作業しなければいけないですよね。 各ユーザーが全て自分でできて、結果の責任もとってくれるならいいんですが。 おそらく、一つ一つのPCにAdministratorが入って作業しなければならなくなります。 できればそれは勘弁してほしい、最後の手段としておきたいと思っています。 というか、それをするくらいだったら、現状維持しようと考えているので。 ドメインからワークグループへのダウングレードって、需要はないんですかね。 ADやLDAPなどのパスワード認証サーバによる管理が必要な状況はわかりますが、 現在の規模では、VNCやRDPが使えたり、SMBでの共有ができれば問題ないので、 MSのサポートが終了したWin2000Serverを、これだけのため使い続けたくないのです。 sambaでも何でも、ワークグループ環境で読み書きできるアクセス権の共有作って、 期限切って必要なデータは各自コピーさせれば良いだろ。期限が来たらDCそのまま止めて終わりだよ。 どうせユーザも少ないんだろうしEveryoneフルにして、DC停止後のユーザなんて好きにさせればいい。 最低限adminで所有権奪取すればアクセス権なんていくらでも書き換えられるんだから。 そうも行かない事情があるなら、そのくらい自分で考えたらいい。 2008 R2グループポリシー コンピュータの構成で、データソースに追加した設定が、 管理ツールのODBCに反映されません。 クライアントはWin7で、GroupPolicy EventID:4098が出ています。 ログには「0x80004005 エラーを特定できません」となっていて、 このコードは権限不足だというところまでは調べたのですが、 権限を付与するにはどうすればいいのでしょうか。 ADのGPを使い、時間でユーザアカンントをロックするようにし、PCに再度ログイン するにはそのユーザのパスワードが必要に設定しました。 管理者が強制的にそのPC上のユーザのロックを解除するにはどうすれば よいのでしょうか。 AD上でそのユーザのアカウントのロックをみたらロックにチェックは はいておりません。 よろしくお願いします >>658 アカウントロックと画面のロックがごちゃごちゃになってる気がする。 ありがとうございます。 画面のロックです。 強制的に管理者ユーザーでログインすると、事前にロックしていたユーザ はログオフし事前に起動していたAPLは終了するので、何とか よい方法をとおもったが、やはり無理か..... Terminal Serviceとかだと、セッションの管理方法を ユーザとの対話 と ユーザの監視 とかで選べた気がするけど、 その辺のオプションってActive Directoryにもあるのかなー‥。 あまり需要がない気もするけど。 Win2003R2 AD上のセキュリティGrの項目にある、電子メールのパラメータに メールアドレスを入れたいのですが、コマンドなどで自動で入力する方法が あったら教えてください。 dsmod group、dsadd groupだとオプションコマンドが無いようです。 何か方法論だけでもいいので、お願いします。 自己レスです。 どうやらVBScriptで組めば、属性直撃で変更できることがわかりました。 まだ細かく作りこんでいませんが、簡易でmail属性に情報を入力できました。 こちら参考にしたリンクです。 ttp://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=39095&forum=6 お騒がせしました。 ADサーバ(WindowsServer2003)、クライアントPC(WindowsXP(SP3)、IE8) という環境で、会社内の情報系PCの管理をしています。 クライアントPCのIEのプロキシサーバの設定をADのグループポリシーで やっています。 あるユーザが IEの「インターネットオプション」→「詳細設定」→「リセット」を 実行したところ、プロキシの設定が外れてしまいました。 「クライアントのリセットボタンの方がグループポリシーより優先なのか??」 と調べてみたところ、 Microsoftのサポートページ(http://support.microsoft.com/kb/923737/ja ) に解説があり、この点は理解できました。 (続き) 問題はこの状態の修復です。 上記ページの説明に従い、クライアント側のグループポリシーエディタで 修復しようとしたのですが、GPエディタの画面に該当する設定項目が 表示されません。 具体的には「コンピュータの構成」→「管理用テンプレート」の下には、 「Windows Components」と「Windowsコンポーネント」の2つしかありません。 この現象が確認できたのは、今のところ、このユーザが使用している機種 (NEC MY30Y/G-G)だけです。 他の機種で実験してみたところ、プロキシの設定が外れるところも再現し、 GPエディタも「管理用テンプレート」の下に「Windows コンポーネント」 「システム」「ネットワーク」「プリンタ」の4つが表示されるので、 サポートサイトの指示通りに修復できました。 (続き) 長くなりましたが、当該機種のGPエディタに「システム」が表示されない 理由とその修正方法が知りたいです。 よろしくお願いします。 ユーザーの構成→windowsの設定→接続→プロキシの設定 が探せないのかなと思ってよく読んだら違うのね テンプレートが削除されてるんじゃないかな? 管理用テンプレート右クリックでテンプレートの追加と削除があるから system.admを追加すればいいと思うよ しかしせっかくADあるのになんでクライアントで1台1台設定してるんだろう? しかしせっかくADあるのになんでクライアントで1台1台設定してるんだろう?>668 テンプレート追加で解決しました。 system.admを追加したら、同じものが2つ表示されるなど妙なところはありましたが、 何しろ[Internet Explorer のメンテナンス ポリシーの処理] まで辿りつけたので、 MSのサポートの指示通り、これを「有効」にすることでプロキシの設定が 元の通りに戻りました。 大感謝です。ありがとうございました。 >しかしせっかくADあるのになんでクライアントで1台1台設定してるんだろう? これは何を指しているのでしょうか? ADでできることをクライアントごとにやっていることはないつもりです。 気になるところがあったら指摘して頂けると助かります。 今回懲りたので、IEのリセットボタンは押せないようにGPを追加しようと 思っています。 すみません、コピペをミスりました。 最初の1行は不要です。m(__)m ActiveDirectory環境で、ユーザー・グループの設定またはグループポリシーで、 あるユーザーやグループで印刷および外部媒体出力を完全に制限する方法を探しています。 IEのみ印刷禁止などの設定や、 プリンタ追加の制限 といった項目は見つかりましたが、 印刷そのものを禁止するような項目が見当たりません。 外部媒体出力についても同様。 なにかスマートな方法無いですか? プリンタにもアクセス権があるのでそれで可能だと思う インストールで失敗するんだけど、シューティングが見つからない。 シューティングの場所 or 原因を教えてもらえますか? Windows Server 2008 R2 Server Core でインストール [症状] "Active Directory ドメイン サービスをホストするために ローカル コンピュータを構成しています" のところで止まる。"."がずっと続いて止まらない。 Server Coreでも、フルインストールでも変わらない。 実サーバ?仮想化? 例えば、仮想化サーバなどへRDC接続などでうまくいってないんだったら、コンソールから作業してみるとか? >>673 追加サービス無しでインストールしてからADを追加するとか >>672 補足するなら、ネットワークプリンタか、ローカルプリンタかで設定方法が変わる。 セキュリティグループにコンピューターアカウント所属させて コンピューターのグループポリシーの適用ってできないんだっけ? >>677 そのセキュリティ・グループが OU に入っていて、 その OU に GPO が何らかの形でリンクされているなら GPO は効く。 >>678 だよねぇ セキュリティグループに入れてるのがコンピューターアカウントだけなせいなのかうまく掛からない ユーザーアカウントの場合はちゃんと動くんだがー ちなみに環境は2008R2でgpresultしたらセキュリティグループに入ってる表示はあるのに ポリシーは除外されたわけでもなく表示されない フィルタでAuthenticated Usersだけだとコンピューターアカウントは含まれないのかな? 現在DNSにpc1.aaa.ne.jpとなっているIPのPCは、bbb.ne.jpというADに参加するとpc1.bbb.ne.jpになるのでしょうか? それとも2つのFQDNを持つことになるのでしょうか? DNSだけで考えると可能でしょうな AD参加はOSがwindowsなら1ドメインだけのはず 他のOSは知らん 電波テロ装置の戦争(始) 魂は幾何学、コピー出来る公安はサリンオウム信者の子供を40歳まで社会から隔離している オウム信者が地方で現在も潜伏している それは新興宗教を配下とする公安(慶應卒T)の仕事だ発案で盗聴器を開発したら霊魂が寄って呼ぶ来た <電波憑依> スピリチャル全否定なら江原三輪氏、高橋佳子大川隆法氏は、幻聴で強制入院矛盾する日本宗教と精神科 <コードレス盗聴> 2004既に国民20%被害250〜700台数中国工作員3〜7000万円2005ソウルコピー2010ソウルイン医者アカギ絡む<盗聴証拠> 今年5月に日本の警視庁防課は被害者SDカード15分を保持した有る国民に出せ!!<創価幹部> キタオカ1962年東北生は二十代で2人の女性をレイプ殺害して入信した創価本尊はこれだけで潰せる<<<韓国工作員鸛<<<創価公明党 <テロ装置>>東芝部品)>>ヤクザ<宗教<同和<<公安<<魂複<<官憲>日本終Googl検索 Microsoft.NET Framework の machine.config がドメイン参加によって 読み取りすらアクセス拒否されるようになってしまうんですが 何が原因かわかりません・・・ので教えてください。 C:\Windows\Microsoft.NET\Framework\v2.0.50727\CONFIG\machine.config で、アクセス許可リストには SYSTEM、Administrator、Administrators(Domain Usersが所属) があって、 ログオンユーザはDomain Usersに所属してます。所有者が「所有者が表示できません」になってます。 でも同フォルダの machine.config.default は、ちゃんとアクセスできるという、よくわからない状況です。 UAC関連? Administrators(Domain Usersが所属) ??? ファイルにDomain Users付けてみたら? 任意のドメインユーザにローカルPCを好きにさわらせる為に AdministratorsにDomain Usersを追加してます。 Domain Users つけたらうまく行くんですが、なぜドメイン参加前後でアクセス可/不可の ファイルができるのか理解できないもので。 Usersが無いのはなんででしょ 親から継承されてないのかな? 所有権をAdministratorsで継承しなおせばいいんじゃないかと プリントサーバ+AD機能でプリンタを公開してるんですが、 フルカラー/白黒の設定を全ユーザに一括反映させる方法ってありますか? ようは、カラーと白黒の2種類のプリンタデバイスを公開したいんですが、 基本設定のカラー設定(フルカラー/グレースケール/2色)はクライアント保持のようで サーバだけ設定しても反映されないという。 >>688 おおおおおー、ありがとございます。 やってみます。 すみません ズブ素人なのですが このたび、アクティブディレクトリに携わる部署へ配属となりますた 何かお勉強するに当たって オススメの良い書籍はありますでしょうか。 ディレクトリに関してはド素人で サルでも解る程の初心者向けの教科書がありましたら嬉しいです! どうぞよろしくお願いいたします。 >>690 深いところ迄知る必要がないならば、@ITとかのWeb上の情報だけで十分だと 個人的には思うんだけどね・・・ そうだね、ある程度知識を付けて 分からないことは近くの人に素直に聞くのが一番だよ 分からないことが分からないというよりはよっぽどましだと思う ActiveDirectory がわかる初歩的書籍はいっぱいあるけど、 運用上発生した問題をいかに解決するかっていう書籍ってないんだよね 実際にはADだけじゃなくネットワーク全般の知識がいるし >>693 そういう意味ではActive DirectoryはTCP/IPネットワークの学習にもってこい という考え方も出来るね。実際 ・LDAPサーバ ・Kerberosサーバ ・DNSサーバ ・SMBサーバ ・NTPサーバ といったものの集合体がActive Directoryな訳で。あとは認証基盤としての AD上で稼働するアプリ(IISとかExchangeとか)について、徐々に理解を 深めて行けばよいと思う。 サイトポリシーにプリンタを展開してクライアントに公開してて、 特にサイト移動もしてないし、ネットワークセグメントが変わったわけでもないのに、 クライアントのデフォルト使用プリンタが勝手に変わってしまって困ってます。 何か対処方はあるんでしょうか。 サイトポリシーってなに?グループポリシーのこと? ネットワークプリンタの追加とかデフォルト設定とかって昔スクリプトでやってたの思い出した 懐かしいな 今は楽でいいよね さて、デフォルトが変わる理由だが、 どこかでデフォルト設定が入っている デフォルトにしたいプリンタが(一時的にでも)削除されている どのポリシーが当たってるか調べてみるといいと思うよ イベントID2092なんていうレア? なトラブル対応することになりそうなんだけど これって普通に降格と再昇格でなおるものなの? 聞くところによると節電のためにセカンダリの電源ずっと落としてたとか 教えてください。 Windows2003のActiveDirectryが2台あり 1台を壊れたので降格したいため、 強制的にFSMO機能を残す側のサーバへ移動させました。 サイトのサイト間とトポロジジェネレータのサーバー名が 降格しようとしているサーバなのですが問題ないのでしょうか。 これって何でしょうか。 >>698 問題ない ttp://technet.microsoft.com/ja-jp/library/cc755994(WS.10).aspx >ISTG Role Ownership and Viability > >The ISTG role owner is selected automatically. The role ownership does not change unless: >・The current ISTG role owner becomes unavailable. >>699 ありがとうございます。 やってみます。 助かりました。 Windows XP ProffesionalのクライアントPCに、USBでプリンタを繋げました。 このプリンタを共有しようと思って、プリンタのプロパティの共有タブを みると「ディレクトリに表示する」のチェックボックスがありませんでした。 別なプリンタをUSBで繋げても、やはりチェックボックスがありません。 どうやったら、このプリンタを共有できるのでしょうか? 困りごとがあります。 今、突然CADシステムの運用管理を任されて困ってます。 CADソフトは不定期に不具合等でHotfixやメジャーバージョンアップがあり、 そのたびにクライアントに対し一台一台、 ソフトのインストール作業を行っています。(全部で170〜180台ある) 有償ソフト(Criston Precisionなど)を使って安易にサイレントインストールできる方法はあるようですが、 予算の都合上、それらを導入することが困難です。 ログインスクリプトやADの設定等で上手いことサイレントインストールすることはできますかね? (ログインスクリプトを使う場合は、一般のログインユーザに管理者権限を持たせれば、可能らしいのですが、 社内のセキュリティ規定の都合上、それは避けたいです…。) ※ちなみに、サーバOS はWindows 2003 Serverを使用しています。 よろしくお願いします。 >>702 「WSUS」「Active Directory」でググれ。ネットワークの構成情報が ないがここに来ている以上Active Directoryなんだろうし。 「調べても分かりませんでした」は受け付けない。具体的に何を調査 した結果どう分からなかったのかを明確に出来るなら、まぁ考えない でもない(そんな奴は自分で問題解決するだろうが)。 マシンに対してならスタートアップで動かせば大抵出来るよね スクリプトは自分で作ってね 公式ガイドブックではわからなかったので教えてください。 1..クライアントのスタートアップに登録されているプログラムを実行させない方法 2.スタートメニューに特定のアイコン(例えば、ワード)だけを表示させる方法 なお、1は、メッセージとか表示させず、何もなかったように実行させない方法を探しています。 Windows Server2008 + Vistaです。 遅レスだけど。 >>679 とりあえずクライアントのイベントログを見よう。 そういう場合、大抵クライアントがドメインコントローラーからのポリシー更新を待たずに起動しちまってるから。 ネットワークを待つ設定にすれば解決すると思う。 >>680 普通は pc1.bbb.ne.jp になる。 AD参加マシンから「pc1」を探す場合、「bbb.ne.jp」というサフィックスを自動で付けるから。 もちろん、「pc1.aaa.ne.jp」というFQDNで探すとDNSからそのアドレスが返ってくる。 だから二つのFQDNを持つ、という理解もあながち間違いではないかな。 >>691 いや、嘘を平気でWebに載せたり本に書いてるテクニカルライターもいるから要注意。 初めて2003でADに触ったとき、井上孝司氏には移動ユーザープロファイル周りで辛酸を舐めさせられた。 氏の2008の本を見たら、全く改訂してなかった。 http://news.mynavi.jp/series/AD/095/index.html これは酷い。 http://www.office-qa.com/win/win73.htm 誰だか知らんがこれも酷い。 隠し共有にしとけばおk、という神経が分からん。 http://support.microsoft.com/kb/274443/ フォルダ・リダイレクトを使おうが使うまいがこっちの方がよりベターなのは自明だ(MS文書だから当然だが)。 実際、MSのサポートにもこうするようにアドバイスされた。 あ。 > 普通は pc1.bbb.ne.jp になる。 は、現在「bbb.ne.jp」というドメインに参加しているのではなく、DNSに手動で静的に登録している、という前提ね。 動的更新の場合、DNS 内のお掃除設定に依存する形でいずれ消える。 また間違った。 ○現在「aaa.ne.jp」という ×現在「bbb.ne.jp」という だった。ごめんなさい。 新しいPCをドメイン参加させる時って クライアントはDCをどうやって探しているのでしょうか? >>709 DNSに問い合わせて探す。 だから、DCを知っているDNSを端末の問い合わせ先DNSに設定しておかないと当然駄目。 DC + DNS + DHCP という構成が楽なのはそういうこと。 重要なのはDNS DNSレコードで確認できるよね うちはDHCPはルータ様が管理しているけど できれば、一緒のほうがいいよね 各拠点にサーバなんて置けないけど ADのドメイン名をDNSのドメイン名 として入力していない場合、最初に NetBIOSの名前解決なりmDNSの 名前解決なりをやってるかも。 >>710 の言っていることは少し違う。 最終的に DC の IPアドレス提供を DC 自身が行うことが大前提なので、 (ドメイン参加時に必要なのは DC の FQDN ではなく、ドメインの FQDN だから) 「少なくとも、DC をフォワード先に指定している DNS を設定しておかないと駄目」 というのが正しいと思う。 >>712 何を言っているのか良く分からないが、 NetBIOS にせよ、mDNS にせよ、「ホスト名 → IPアドレス」解決しかできない。 やりたいのは「ドメイン名 → 『そのドメインの DC の』 IPアドレス」という解決。 端末をドメインに参加させる時に必要な情報は、DC のホスト名じゃなくてドメイン名だから。 なお、極端な話ではあるが、 _ldap._tcp.dc._msdcs.<ドメイン名> の SRV リソース レコードに DC の IP アドレスを入れれば >>710 でも問題ないはず。 AD 参加端末が DNS に問い合わせているのはこれ。 こんな面倒なこと、普通はやらないけど。 どのようにDCのアドレスを取得するのかという>>709 の質問に、 DNSがDCを知っている必要があるという>>710 に対して 知らなくてもフォワードして取得できればいいのでそれは間違っている といいだすなんて、会話のできない奴だなあと思った。 そういう経験した俺、カッコいい ってやつだろ、ほっといてやれよ ドメインコントローラーにDHCPを共存させるなんて 気持ち悪いですね。 ワークグループのほうがいいんでは ActiveDirectoryは糞。 やりたいことと関係ない非本質的な知識を要求されすぎ。 5つのFSMOとかGCとかSPNとかもうアホかと。 やはりパスワードを全て同じにした WORKGROUP環境最強。 ActiveDirectoryの管理ムズすぎ。 dcdiagの結果を検索エンジンで調べながら 地道に問題を潰していく時間が無駄すぎる。 バカチョソでも管理できるようにしてくれ グループアドレスへの人の追加・削除などの変更をサーバーでは無く、ローカルPCにて変更する事は可能なんでしょうか? どんなの方法があるのかご存知の方教えてください。 今は管理者が一手に引き受けて追加・削除をしてきましたが、一部門にも頻繁に変更があるので、 そこのみ自ら作業をしてもらえればと思っています。 なおグループアドレスは既存アドレスへの変更を考えていますので新規作成とかは出来なくても構いません。 Windows Server 2003 AD バージョン: 5.2.3 ユーザーのことじゃね?多分だけど それなら、 ユーザーに権限与えて、管理ツールインストールでいいんじゃね? >>721 Windowsサーバーがあればできる。 GUIでヤリたいなら、MMCスナップイン。 CUIならPowerShellでいけるはず。 ドメイソコリトローラー4台の内、 1台だけ時刻が合いません。 どこを見直したら良いでしょうか? 何故か大昔に使っていた外部NTPを見に行こうと してARPを投げようとします。 w32tm /config /updateや net time /setsntpは正しく設定しており、レジストリに古いNTPの情報はどこにも見あたりません。 Windows Timeサービスの再起動しても治りません。2003です。 dcdiagしてもそれらしい原因が見つからず。。 LinuxでAD互換環境が作れるソフトってないの? 職場ではADが導入されたんだけど、自宅でも検証とか勉強をしたいから、近い環境がないかなって探してるだけでさ、で乞食呼ばわりとは。 >>728 >>730 理論上はLDAPサーバとKerberos v5サーバとDNSサーバとSMBサーバを 用意してそれぞれを連動する様にすればAD互換とはなるよ。但し手間 は半端ないだろうけどね。2008R2の評価版とVMWARE Playerで動作確認 するなら金もかからないんじゃない? まだベータ版(アルファ版?)?ながら samba4にADのDCの機能があるよ。 主な設定はWindowsからになるよう。 公式解説書で理解できないので、知恵拝借 nw-a と nw-b があって、お互いルーティングはできる。 nwセグメントも別で、それぞれがdhcpもってる。 それぞれにDCが立ってて、それをdc-a、dc-bとする。 で、nw-aのクライアントをnw-bに接続して、nw-bのipアドレスもらってクライアントとして動作させつつ、dc-bじゃなくてdc-aにログインさせたい でも、dc-aとdc-bとで信頼とか委任とかの設定は(規則上)できない。 これって、可能? 操作対象のコンピューターはNICが2つあって 片方はドメインネットワーク(172.16.*.*)、 片方は開発ネットワーク(192.168.0.*) に接続しています。 どちらも物理的に別のネットワークです。双方名前解決はできません。 操作対象のコンピューターは、ドメインネットワークに参加しています。 ドメインネットワークから、操作対象のコンピューターにドメインアカウントでリモートデスクトップはできる。 開発ネットワークから、操作対象のコンピューターにローカルアカウントでリモートデスクトップはできる。 開発ネットワークから、操作対象のコンピューターにドメインアカウントでリモートデスクトップはできない。 って状態です。 開発ネットワークから、操作したいパソコンにドメインアカウントでリモートデスクトップはできるようにするには どのような設定が必要ですか? 実環境で色々試せないので鼻毛鯖に2003とActive Directoryをいれて実験環境構築中・・・ >>734 できない理由が思い当たらないのだけど。 少なくともDHCPでIPアドレスが貰えれば 後はルーターをまたごうと繋がる >>735 リモートデスクトップ有効にして ユーザーをリモート接続グループに追加して ファイアウォールに穴あけるだけじゃね? ADでドメインコントローラにwsus入れたら、 ドメインに参加したクライアントってグループポリシーの設定しなくても wsusのサーバを参照するようになる? ログ見ると参照しにいって8001B0001のエラーになるんだよね ドメインに入る前はwindowsUpdate出来てたのに sharepointを試すのにADが要るってんで、適当に手を出してエライ目にあってます。 開発マシンをDCにしたらそのマシンのSQLサーバが使えなくなったんで、 こりゃイカンとDCのアンスコ(降格)したら今までのアカウントの設定がぶっ飛んでしまいました。 (正確には、降格時に新アカウントが作成されて、旧アカウントに入れなくなった?) Windowsバックアップはとってあるんですが、Cドライブは復元できないと怒られますorz 旧アカウントを復活させる方法はないのでしょうか? server2008+vistaのネットワーク グループポリシーでvistaクライアント上のofficeのマクロを禁止したいけど、どうすればいいの? そのものずばりの設定箇所はないけど。 >>742 おれに言ってるの? なんで? ADのポリシーで設定できないか、って質問なんだけど。 M3mwkK5A server2008+vistaのネットワーク グループポリシーでvistaクライアント上のコリャ英和!のマクロを禁止したいけど、どうすればいいの? そのものずばりの設定箇所はないけど。 古代のWindows 2003 Server稼働機がディスクトラブルでブートしない助けてって言われて見に行った。 Windowsの起動プロセスのどこでこけてるとかそういうのは正直わからんので、 とりあえずレスキュー作業をした。 ていうかPXEで適当なOSをブートしてディスク覗いたらだいたい健全で、NTFSパーティションは基本全部吸い出せた。 だったら修復インストールとかin-placeなんちゃらができるかなーと思ったらうまくいかんので 新規インストールを提案したら泣いて嫌がるの。 聞いてみたら、Active Directoryの再設定したくないんだって。 調べたらntds.ditだったけかに情報が集約されてると書いてあるのだが、 Windowsの外からこのファイルをがりっと上書きしてブートすればミッション達成でしょうか? うーん、未知の世界すぎる… スレ進んで無さ過ぎ…。 去年の分からだけでもレスしとこうか…。 >>738 するようにならない。 >>739 DC に SQL Server を入れるのは MS の非推奨。 詳細は知らんが何が起こっても不思議じゃないので俺はやったことない。 >>741 Office は Office でそれ用のポリシーがある。インポートして使う。 Office のバージョン毎にあるから泣けること必須。 >>745 助けて、と言ってきた相手による。 csvdeか何かで、特定ou内の特定の複数のグループについてメンバーを取得したいのですがご教示いただけないでしょうか。 目的は現時点でのグループに所属している者を一覧でわかりやすく開示するためです。 今やSamba4でタダで組める時代になったので隔世の感が 個人用に適当に実験するだけなら十分かな まあ評価版WindowsServerも180日使えるし、 お好きな方法で、といったところか。 ソフトウェア開発環境に対して、外部(GlobalSignとかVeriSign)から得たコードサイニング証明書を 再配布する(複数端末利用可の証明であることは前提として)ことは可能でしょうか? AD CS でコード証明書を発行する( ttps://gallery.technet.microsoft.com/scriptcenter/6ae5d016-3c55-4b26-a0db-ebb0580cad7b ) という記事から、「証明書の発行」が可能なことは理解できているつもりなのですが、 自己発行で無い証明書の、署名実施のための配布というのは可能なのでしょうか? windows(7-10) pro クライアントpcを複数台使っているんですけど、 ドメインコントローラーを用意したら、ユーザー管理、リソースへのアクセス管理、 それ以外にどんなことができるんですか。 各PCの設定、アプリケーションのインストールが自動的にできたら素晴らしいなと思っているんですが。 また、windows phone 10 を参加させるとどんないいことがあるんでしょうか。 windows phone 10 に遠隔ロックをかけるなんてこともできるんでしょうか。 MDMの機能がほしいなあと。 Azure ADとAD FSを勉強した方がいい アプリの配布は一応できる >>754 ありがとうございます。 まさかAzureを使った管理サービスの勉強をすることになるとは思ってもみませんでした。 自分は、linuxでsamba4をつかって、ドメインコントローラーを構築してマシンを管理できたら良いなくらいに思っていたので。 (linuxは触ってきたんですが、windows serverは今までに一度もないです。) やはり、Azureということは、windows phoneなど様々なネット上のデバイスの統合の必要があるって理解で良いでしょうか。 これは、これまでのようにプライベートネット内にwindows serverでドメインコントローラーを動作させる時代が終わりになること意味するんでしょうか。 windows phone 10には興味があるので、やはり、Azure上のそういうドメインコントローラー代わり?のサービスについて知るために本屋に行ってきます・・・ 間違っているところがあれば、どうかご指摘ください。 ありがとうございます。 勉強用の為にサーバー買ってAD環境作ってみようとしたけど全然あかん。 参考書通りの設定してんのにドメインにアクセスできないとかいってADツールは立ち上がらないし 、dcdiagコマンド叩けばグローバルカタログが停止してるしnetlogonとsysvolには共有化かかってないし、 ドメインネットワークに繋がってないしどこが悪いんだか。 ADのアンインストールからOSの入れなおしてからのリトライしても状況変らんしお手上げだ。 テスト環境作りたいのですが本番環境を丸コピーすると ドメインまでかぶってコピーしたつもりがコピーになってなかったとかあるんでしょうか? 参考書自体は5000円近くして分厚い構築・運用・管理パーフェクトガイドってやつ。 おそらく、おかしいのではないと思われる。 ネットワークは インターネット---ルーター(プロバイダの)-------ローカルサーバー の構成でやってダメ(サーバーへはPCからリモートデスクトップで操作) ADインストール時の問題は特になし、ただ昇格させようとした時に問題が発生しているようで DNSでForestDomainZoneとDomain names Zoneが作成されない為、全てが上手くいかないものと思われる。 ちなみに、上記二つのゾーンを作成しようとしてもドメインがみつからないとか言って作成できない。 そのくせ、nslookupやdcdiagでの動きは上手くいくんだよなぁ。 先週のWindows Update グループポリシーのトラブルで嵌った人、います? >>756 OS書いたら? 参考書と自環境のOSは、同じだよね? そこまで即座にupdate当てられる運用出来てていいなー みたいな。 クライアント 250台 windows鯖14台 +Mac 等 50代の会社のおひとり世話係りだからね 一応、ISO27001取ってるし ゼロディアタックも喰らってるから(社内記録はもみ消されたが) シンクラと違い百人百様の環境 OSもビスタから10までの、まともに管理できる環境じゃないしね まあ、問題出す訳には行かんので 今回も何とか、自力回復できてよかった 2012R2サーバをファイルサーバ兼2台目のドメインコントローラーとして使っているんですけど ローカルユーザを追加してドメインに参加していないクライアントを共有フォルダへアクセスさることはできますか? ドメイングループポリシーのコンピューターの構成ってコンピュータオブジェクトが入ってるOUにしか効果ないの? 部署単位でユーザーオブジェクトが入ってるOUにリンクさせても無意味? あとオペレーションミスでユーザーオブジェクト消しちゃう人がいるんだけど わかりやすくユーザーオブジェクトが消されたときにわかる履歴ってとる手段ないだろうか? 消された時間と消されたユーザーオブジェクトの名前(SIDではない)とかだけフィルターをかけて出したいけど WIndows Server 2016でのADの新機能 特権アクセス管理 (Privileged Access Management: PAM) ハイブリッド ID 管理 Windows Hello for Business(旧称、Microsoft Passport for Work) SYSVOL と NETLOGON 共有のセキュリティ強化 (MS15-011 対策) この期に及んでもまだ新機能あるのな、みたいな。 まあ半分はAAD対応で一つはセキュリティアップデートみたいな。 スレ汚し失礼します。 質問はここでよかったでしょうか? 違ってれば誘導していただければと。 以下に示すネットワークは全てVPNで接続されローカルとして扱えるものとします。 現在 ABC拠点がありそれぞれに拠点のドメインコントローラが存在します。 また現在は各拠点のクライアントPCは自身の拠点にあるドメインコントローラにしか現在接続しないものとします。 (拠点AのクライアントはSV Aにしか繋ぎません。) SV A: ADDS,DNS aaa.test.co.jp SV B: ADDS,DNS bbb.test.co.jp SV C: ADDS,DNS ccc.test.co.jp ここにPC Dを追加しABCの各ドメインのバックアップを持たせ 各拠点のドメインコントローラが死んだ際にはDへ接続出来るようにしたいと考えています。 プライマリ、セカンダリのDNS設定で優先先は決定できると思っているのですが。。。 PC Dにドメインをどのように作成していいかがわかりません。 そもそもそのようなことは出来ない等、情報をご教示いただければと思っております。 よろしくお願いいたします。 >>772 PC Dはドメイン情報のバックアップするだけ。ドメインコントローラーは全部死なない限り相互で自動同期取る仕様なんで。自動昇格とかは各ドメイン配下のサーバーで設定しないと。 ここで聞くことじゃないかもしれんが、sambaのADって使い物になるの? 友達がWindowsで稼げている情報など。ニュースというか参考までに。 ⇒ http://kuchibeta.sblo.jp/article/181868190.html 興味がある方のために書きました。 HF7Y7ZC55U v6プラスにしたら pcがDC見つけられなくてドメインに追加できなくなった。 pcのipv6を無効にしたら ドメインに参加できたけどなんだこれ。 ADとは、直接関係無いのだが 悪意のあるソフト削除ツール は、更新で当月分以外は不要でO.K? WSUSの容量減らしたくて >>772 ぶら下がっている奴はADサーバも兼ねているだろ GPOでDNSをまとめて設定すりゃいい >>782 使いもしないパッチを減らせば OSも種類もあるけどMSのソフトなんていらないだろに 少なくともオフィスの特定のバージョンだけとか 少なくとも何を使ってるかは把握してるんだろうし。 >>772 無知で日本語のパッチレベルで適応させると400GB以上になるよw 大半が無駄パッチ 下手なADサーバーだとそれで死ぬ。 WSUSなっていい加減に設定するとハマるんだよ。 余裕がないのなら限定して組まないと共倒れになるぞw >>782 というか、パッチの置き換えがあったかをトーナメント表みたいな アイコンで表示できるでしょ。 優勝アイコンもしくはアイコンが表示されないパッチ以外は 全部削除してクリーンアップで容量は激減するよ。 >>785 >>787 レス有難うございます。 やってはいるんですけど、糞鯖な物で たぶんテレメ入り(蚤じゃない方)のマンスリーと同じだと思うんだけど 容量が多いのは、高速パッチが原因なのは判るけども 前任者が調達含め、いい加減な対応しかしてないので ほとんど、おまかん状態 導入済みソフトの調査だけで、大変だった で、結局悪意の古いのは要るの?要らないの? >>789 >>787 をやってるんだな? じゃあ答えは出てるだろ。 糞鯖とか前任者とか全く関係なく、お前の理解不足。 Windows10からデフォルトログオンドメインの挙動変わった? w8.1まではポリシー設定効いてたのに効かない ワークグループ環境での挙動が違うだけなのかもしれんが お家のネットワークに、最新のSamba 4.8.0でAD DCを構築。 Windowsは値段が高いし、これで十分だね。 基本的なグループポリシーは問題ないみたい。 (PC管理がずいぶん楽になった。) 今はお試し版のWindowsServerを同時に動かして、いろいろ弄っているところ。 友達から教えてもらった簡単確実稼げる秘密の方法 関心がある人だけ見てください。 グーグルで検索するといいかも『金持ちになりたい 鎌野介メソッド』 8CBPS 友達から教えてもらったネットで稼げる情報とか 興味がある人はどうぞ グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』 H3273 ドメイン取ってないようなとこで.localの代わりに何使ってるのか気になって覗いたけど 過疎スレだね★ 客先で.testもあれだしなぁ さんきゅ とりあえず、DNSが解決しないドメイン名にした。 つかなんで手のひら返したように.localは使うなとか言いだすんだよ。中途半端な知識の情シスがうるせえうるせえ。 導入数年のAD管理任されました 今までユーザーのパスワード無期限を、約半年単位で変更と言うことに落ち着きました、 正月休み明けから、実行を考えていますが 12/1に有効期間30日でGP設定 1/10に183日に変更で思ったような運用可能でしょうか? 最初の30日設定のカウント開始が判らず、当日にパスワード変更要求がかかるなら1月に設定変更しますので と言われましても、社内統一パスワードの設定なので アホとしか思えん >>801 これから運用するものにlocalなんて使っちゃだめですよ。 新しくドメイン作って末尾を.jpにしてますよ。 フォレスト同士を信頼関係で結んで接続すれば 双方のドメインでユーザーはログイン可能。 ただドメインが違うのでログイン時に、ドメイン名+アカウント名を入れないとダメだけど メアド用にお名前.comなんかで取ったドメイン名にサブドメイン勝手に作ってもいいのかな? ad.onamae.com みたいなドメイン名で、ログオン時に user@ad.onamae.com って作っちゃうとなんかメアドと間違えられそうだし・・・ .localなんて十数年実績あるんだからなんで勝手に予約語にしたんだか グループポリシーについて教えて下さい。 本部OUと支社OUにそれぞれGPOを作成しました。 本部OUのユーザーが支社OUのコンピューターにログインした時は、本部OUのユーザーの構成が適用されるで合っていますでしょうか? 支社OUのコンピューターの構成でループバックの置換を設定すると支社OUのユーザーの構成が適用されますでしょうか? 何故かループバックの設定をしてないのに、本部OUのユーザーが支社OUのコンピューターにログインしたら支社のユーザーの構成が適用されました。何故でしょうか。 また、コンピューターの構成を適用したい場合はユーザーの構成を無効にする以外は方法無いでしょうか?? >>809 ユーザーの構成はユーザーアカウントに適用 コンピュータの構成はコンピュータアカウントに適用 gpupdate /force & gpresult /R で端末確認しながら勉強しろ 諸悪の根源はこいつか、、、 ttps://support.apple.com/ja-jp/HT204684 .private .intranet .internal .lan 上記4つもいずれは、、、と考えるとサブドメインかね 最近だとOffice365がらみもあるな。大企業ほど大変 ワークグループに落として再参加とか気軽にいうなよなぁ >>809 わかりません フォレストの信頼関係で繋がっている前提で なっているなら本社のユーザーは本社のグループポリシーが適用される。 Windowsは作りが雑なので消えてなくなれと言いたい。 グループポリシーはユーザーとコンピュータに別れ 各々しか適用さない。 設定したつもりになっていて、設定しても無効になるのがある。 管理に限界があるときはバッチでも使って管理しましょう Windows互換性はないからな。廃止されたものもあるし 謎の不具合もある。 奥は深いよ ポリシ当たらないときは何やっても当たらないからな ログオンスクリプトに書いてる客も多い ドメコン動かしてるサーバにやらせてもよい事orやらせるべきではないことってどうなんでしょう? 例えば IIS(イントラ用で) ファイルサーバ Hyper-V ホスト プロキシサーバ とかやらせて良い? >>817 ローカルユーザアクセス権の関係でSQL Serverも非推奨だったはず。 あとは頻繁に再起動が必要な環境も避けた方がいいとは言われた。 >>817 Hyper-V ホスト は、状況しだいだがライセンス問題が ドメコンは朝とかの初期アクセス以外は暇なんだけどね 仮想できない昔はファイル、ウイルス対策、WSUSなんかも兼用で動かしてた active directoryを管理するGUIツールを探しているのですが WEBブラウザ型の管理ツールはありますか? DBで言うところのadminerのようなツールのAD版を探しています 今年後半のldaps強制は回避できないんだろうか? 知ってる方いらっしゃれば 3月が延期になってなかったら、非Windows連携で入退出管理システムとか組んでるベンダが死んでたと思う 教えてください。 ADユーザー情報3000件を一括で変更しようと思ったら、 PowerShellが良いですか?コマンドプロンプトが良いですか? >>829 OS:WindowsServer2012 やりたいこと:各ユーザーの所属するグループを更新したい。 更新するためのユーザー抽出方法は既にできてる。 出力データを編集するのは人間。 編集したデータをうまいことADに取り込みたい。 (グループの追加、ではなく、上書きのイメージ) です。 >>830 わからない。 グループ作ってユーザー突っ込めばいい話かと Windowsはクソなので勝手にユーザー作って 権限入れた後にユーザ消すと、幽霊会員の残骸ができるからね。 共有フォルダーの権限の大元をグループで変えるのか 実際作ったフォルダーをいじるかでも違ってくる .batでできるが そのバッチを効率的に作るために excelとかでベースを作って テキストに書き出し後に TABとかを置換で消して作ればいい。 >>831 今回はグループが主ではなく、ユーザーが主 (AAAというユーザーが所属しているグループの更新作業) として考えたいです。 なので、グループ自体をどうこうする、というのは考えていません。 あとWindowsはクソなのですね。 覚えておきます。(大切なことなので。) 残骸ができるのは困るので、丁寧に作業します。 >>832 .batですか。 例えば、、、それはどのような記載になるでしょうか? ヒントだけでもいただけると助かります。 名前で人は登録するな 名前は同性同名で重複するの途中失敗する恐れあり >>835 ありがとうございます。 確認しました。。。が、既存のユーザー情報変を変更したい場合は、 【ActiveDirectoryユーザーを一括操作する】の項目のところを 工夫すれば良いのでしょうか? キーとなるログオン名の重複はない(はず)なので、 重複によるエラーは発生しない予定です。 PowerShellなら効率的な使い方あるんだろうなーって思いながらExcelでバッチ作っちゃうねえ・・・ すんごい基本的なことですが、わからんす。 2016ad環境でグループポリシーつかってwin10proの大型アップデート制御する方法を教えて下さい。 スタンドアロンで使ってたクライアントをドメインに参加させる予定なんだけど、そのユーザが使ってたデスクトップは変えたくないんだが、何か方法あるかな? ドメイコンのレプリケート範囲ってデフォルトでは同じドメイン内って認識であってますか? >>840 つ 何もできない。 が回答。 ドメインに参加させる際に全ての権限があるのなら 実際に使うユーザー側でローカルのユーザー名の場所にアクセス権を追加してやれば ドメイン参加後にクライアントのデスクトップにやファイルすべにアクセス可能なので フォルダー追加程度で同じことが可能だが 権限がないなら ローカルのユーザーのフォルダをC直下にコピーしたのちに ドメインの実際に使うユーザー側にコピーするとかするしかないのでは? しかしMSはなぜ「ドメイン」という言葉を使い始めたのだろう? インターネットのコミュニティをとことん馬鹿にしてたとしか思えない AD環境のグループポリシーについて ユーザ構成の項目がOUに適用されているGPOで全て未構成だった場合、LGPOで有効、無効ならLGPOの設定が適用されますか? わからない。 もっと勉強しろ。 質問の意図がかわからないし そもそもユーザーと端末の各々独立している 設定後に検証も自分で出来ないようならば利用するなとしか言いようがない AD環境なんてのは企業でしか利用しないたろうよ 管理者ならばしっかりとせいよ >>845 概念だけ説明すると AD概念を説明すると、 フォルダがグループ ファイルの相当するのが ユーザー または 端末。 ポリシーのルールがあり作ったルールをフォルダー紐づける。 ただマイクロソフトが作っているのでいい加減だしポンコツで適用がアバウト。 ルールはユーザ側と端末側と重複する項目があるが 実際は片方か動かないとかある。または全く記載がない。 こういう仕組みでザル構造になっているがザルだけあって対策はある。 ユーザがログインした際に強制的にバッチを読ませるログオンスクリプトを作って 実行させる手がある。 Windowsが作りがいい加減なので、 管理側どこに記載するべきポリシーなのかがわかってないと運用できないのですよ。 ポリシーも有効にならないものはグレーアウトとかもしくは表示しないとかあれば 混乱はないでしょうけど、設定しもて動かないものが混ざっているので 経験則を必要とするものになってます。 話は戻ると質問が間違っていて そもそも今回のは 〇〇をしたいのですがどういう方法がありますか? と書くべきかと思うな 会社のPCでワークグループ状態のときローカルアカウントを作成して超短いパスワードつけられたけど その後ドメイン参加したらローカルアカウントのパスワード変更はドメインのポリシーに縛られちゃうのな 超短いパスワードのローカルアカウントが必要ならドメイン参加前に作っとかなきゃ駄目ってことか Windows Server 2016で、.localのドメインから〇〇.実在のドメインにドメイン名変更をしましたが、 ドメイン参加に失敗するようになりました。 助けてください。 netlogonのエラーで下記のように出ています。 次のDNSサーバーでDNSレコード'_ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.〇〇.実在のドメイン. 600 IN SRV 0 100 389 pc名.〇〇.実在のドメイン'の動的登録に失敗しました。 DNSサーバーのアドレス:実在ドメインのレジストラのipアドレス 返された応答コード(RCODE):5 返された状態コード:9017 あと何か必要な情報があれば指摘いただければ追記します。 よろしくお願いします。 Active Directoryに参加しているPCって サーバー側からusersフォルダが丸見えになるのがデフォですか? 今日初めて気づいたんですが、これで良いのか?とちょっとビビってます。 >>851 管理者権限あればなんとでもなるでしょ。気にしたって仕方ない。 個人のマイクロソフトアカウントでデバイスが見えるのと同じ理屈です ライセンス管理もしている企業用アカウントなので見えて当然でしょう >>851 言葉がわからない。 サーバー側というなら見えない。 管理者のアカウントでドメインの参加してる端末であれば見れるかも Administrator、Administratorだから権限があるわけではない。 一般ユーザーとAdministratorは同列。Administratorが管理権限があるかは Administratorsやなど他のグループにAdministratorがユーザーとして入ってるため。 ファイルの所有者がその人だけで アクセス権にAdministratorがユーザーとして含まれてなければ覗くことがはできない。 >>854 個々のPCのAdministratorの権限は会社で管理してるって意味では? >>851 だからEnterprise AdminsグループやDomain Adminsグループはガチガチに保護する必要がある 全員死んじまえよ構わないというだけではないやろ… フルポジだから気にならんのか どう考えてから再度お試しください。 https://i.imgur.com/vOQlj0h.jpg デイは滅多にやらないけど短期繰り返してる、じゃない人は作品の質が低いんだろうな 何が面白かった ただでさえ少ない本国ペンに絞められでもしないと > 散弾銃ではない read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる