Windows★Active Directoryスレ
なかったので立てました。 管理者のみなさん、一緒にお話しませんこと? >>391 インストールした時間とかNICのMACアドレスとか色々な要素らしい。 生成に関するアルゴリズムとか要素は公開されて無かったと思う。 >悪意をもった人間がSIDを偽装することはできるのですか? 理論的には可能。 >>391 sambaとかだと、SIDを明示的に指定することも できたんではなかったかな。 なるほど、回答いただいた方々ありがとうございます。 不明だったことがだいぶ解決しました。 そうすると、SIDが偽装できなと仮定するとIDとパスが漏れても 他のPCからはログインできないという事でいいのでしょうか? 他のPCからドメイン上のファイルにアクセスする方法とかあるのでしょうか? >>394 ドメインに参加してないPCでも共有リソースアクセス時にユーザー名とパスワード入れればアクセスできるぞ。 それをADの機能だけで抑制出来たかなぁ? >>ドメインに参加してないPCでも共有リソースアクセス時にユーザー名とパスワード入れればアクセスできるぞ。 デフォルトだとそうだよね。 >>394 コンピュータアカウントで制御していれば、 多少、そういう感じにできるのかもだけど、 デフォルトでは、ADのユーザは任意のコンピュータを ドメインに参加できる。 重複したコンピュータ名は参加させられないだろうけど、 権限によっては、参加できるようにも。 ドメイン参加のアクセス権関係は、あまりいい資料が みつかりにくいかも。いろいろ、試行錯誤しても 持ってるのが書籍情報だけだとわかりにくそう。 ドメイン参加専用のユーザを作るとか。 >>388 お礼遅くなりましたが、ありがとうございます。 助かりました。 SIDからドメインのユーザ名を特定することって出来ないのでしょうか? やりたいことはVBScript(WSH)でセキュリティポリシーの設定を 取得したり設定したりするツールの作成です。 seceditコマンドで設定をエクスポートすると、「ユーザ権利の割り当て」 等の項目はユーザ名がSIDで出力されます。ローカルユーザは WMIのwin32_accountを使ってユーザ名を特定できたのですが、 ドメインユーザはwin32_accountでは取得できません。 逆にドメインユーザ名からSIDを特定する方法として dsquery user -samid domain\user | dsget user -sid があるので、最悪の場合使用が想定されるドメインユーザのSID一覧を あらかじめ作成しておいて照合するしか無いか?と諦めかけています。 どなたか良い方法をご存知でしたら教えて頂けないでしょうか。 超ど初心者です。 Computerコンテナに10ぐらいのPCがあって、Userコンテナは権限の異なる10ぐらいのUserがいます。 やりたいこと 特定のComputerのみに誰でも(どのUserでも)リモートデスクトップでログインできるようにしたいのですが、どうすれば良いですか? ヒントサイトだけでも良いので教えてください。 >>400 同時にログインできるのは2人までだけど、本当にいいの? >>400 自分ならRemote Desktop UsersグループにDomain Users追加しますね。 ADでいい方法あるのかな。 ADSIでGCの内容ってみれるんでしたっけ? ご存知の方いらっしゃいましたら教えてくださいませ。 今、システムのテスト中なんだけど、ラッシュテストを行う際のADの負荷を計測 しろと言われてます。特に、ADに対して、LDAPのリクエストが発行されている 量・頻度を記録するように、と言われてます。 何か、良い方法ありますか? あるユーザが所属しているOUをPCのコマンドプロンプトから確認したいです。 グループの確認は net user <ユーザ名> /domain で確認出来たんですが…。 ADにログインして確認するのではなく、 PCのコマンドプロンプト上から確認したいです。 gpresultでスイッチ調べましたがうまくいきませんでした。 どなたか教えて下さい。お願いします。 補足させて頂きます。 gpresult /user <ドメイン名>\<ユーザ名> すると「SID情報を取得中…」と、いけそうになるのですが 「情報:ユーザー "<ドメイン名>\<ユーザ名>" にRSOPデータがありません。」 と表示されてしまいます。 管理者権限に昇格してもダメでした。 どなたか情報お願いします。 >>407 情報ありがとうございます。 netdom query で出来そうと思い小一時間格闘してみましたが、未だ出来ずorz PCに管理ツールインストールして dsquery user -user tanakaはどう? "CN=tanaka,OU=組織1,DC=testad,DC=testcorp,DC=local" ×dsquery user -user tanaka ○dsquery user -name tanaka >>404 > 何か、良い方法ありますか? パフォーマンスモニタで良いんじゃないの。NTDSオブジェクトのカウンタがたくさんあるでしょ。 >>410 レスありがとうございます。 管理ツールをインストールして、 dsqueryコマンドで確認する方法を取ることにします。 ありがとうございました。 ADのDNSについて、ちょっと気になることがあるので ご存知の方がいたら教えてください。 W2003R2で稼働中のAD、DNSです。 PCを参加させている途中で1台だけAレコードが大文字で表記されているのですが 大文字で登録されるケースと小文字で登録されるケースで何か違いがあるんでしょうか? ほかのホスト名に変えると小文字で登録されるのですが ホスト名以外は同じセットアップを行った同じクライアントで何が違うのかが非常に気になります。 というか、DNSの管理で1台だけ大文字なので非常に目に付きます。 同じような現象にあわれた方で、解決方法をご存知の方がいたら 教えてやってください。 質問です。 Windows 2003 の Active Directory についてですが。 ユーザのプロパティで、ユーザがいつパスワードを変更したか、とか、SIDの確認等が見れるようにする方法が あったかと思います。 確か何かのファイルをWindows上に保存するかインストールする事でできたかと思います。 どなたかファイル名、もしくは方法を知っていたら、教えてください うるおぼえですが、確かそのファイルを設定する事により、ユーザとコンピュータでユーザのプロファイルのタブが1つ増えたはずです。 >>415 運用上の問題はまるでないと思いますが、 エンドから質問されるって不可避の問題が発生してます。 DNSのドメイン名は大文字小文字で区別してないので、問題は起きないはずなんだけどね。 一緒だから製品上の仕様ですで逃げれないのかな? >>419 レス、ありがと。 ホスト名でow-01〜16まで並んでるんだけど OW-01だけが大文字になってるんです。 それを見てから、うるさくてうるさくて。。。 一度、マシン名を他の名前(temp)に変更してから 小文字でow-01と入れなおしてみたんですが、 一時的に小文字になるだけで、次にDNSの管理を開いたときには大文字に変わってしまってます。 ADへの参加しなおしもやってみましたが、駄目で 再インストールは提案したら却下されました。 >>420 AD上に登録されてるコンピュータオブジェクトは大文字になってる?小文字になってる? もし一度大文字のホスト名でAD参加させてるなら、それが影響してるかも。 ・対象ホストをドメインから一度外す ・対象ホストのコンピュータアカウントをAD上から削除 ・DNSで対象ホストのAレコードを削除 ・対象ホストのホスト名が小文字であることを確認 ・再度ドメイン参加 これで直らんかな? 単純に、大文字小文字の区別が無いことをMSのソースで示せればいいなら、 ここを読んで解釈すればいいような気もするが。 登録は大文字小文字を区別するが、 クライアントや他のDNSに返すときは一律で小文字で返す、 と書いてあるように見える。 ttp://technet2.microsoft.com/WindowsServer/ja/library/4f9d39f0-5001-44fc-a75e-922b408165091041.mspx?mfr=true >>421 レス、ありがとうございます。 コンピューターオブジェクトはクライアント、サーバ、すべて大文字です。 ドメインからの離脱は一度試してみました。 その際の手順は、下記のとおりでほぼ同じです。 ・ドメインから離脱 ・DNS、ドメコンでコンピュータの削除 ・全サイトへの強制レプリカ ・対象ホストを別の名称に変更(ow-01 から temp) ・対象ホストを指定名称に変更(temp から ow-01) ・再度、ドメイン参加 この手順後、一瞬は小文字になったのですが DNSの管理を開きなおしたら大文字に変わっていました。。。 グループポリシー使ってアカウントのログインの失敗情報のログを取る方法って ないですかね? CSVDEのデータだと無駄な部分が多すぎるのと、いろんな項目がバイナリコード で吐き出してくるからどのアカウントでログイン失敗したのかがすぐ 分からないんで・・・ こういうの? ttp://www.monyo.com/technical/windows/35.html 一般ユーザの場合、全DCに「イベントログ」のアクセス権の設定もいるよう。 ある一つのユーザーに、ドメインの中では制限ユーザなんだけど 単一のクライアントに対しては管理者権限を持たせる なんて事はできるのかな? NT40のDCをServer2003のADにアップグレードしました。 この環境にNT40のBDCを追加してみようかと思ったのですが、 NTセットアップ中のドメイン登録でドメインコントローラに接続できません というエラーになって先に進みません。 アップグレードしたServer2003は混在モードなので、いけると思ったのですが。 何か情報ありますでしょうか。 メンバーが少ない拠点には、アカウントの複製だけで十分だと思ったので、 あえてNT4のBDCでも置いてみようかと思ったのですが、 無理でしょうかね。 BDCとしてセットアップするPCの、NICのドライバを正しく入れてます? ルータを越える必要があるなら、LMHOSTSをインポートしています? それ以前に、すでにサポートの終わったNT4を使うリスクは認識してます? 業務に使うなら何かあったときにサポート終了したから対処できませんでは すまないでしょうに。 DCのアップグレードもそのためにやったんじゃないの? 400人くらいの会社で AD導入しようとおもってるんだけど 朝9時出社時にどのくらいのネットワーク帯域を 確保しておけばいいのでしょうか? シングルドメインで、組織構成も簡単。 部門も10個くらいしかなく、 プリンタとかファイルサーバーとかもそんなにありません。 NTTに聞いたら10−20Mの帯域は覚悟しておけって いわれたんだけど。 >>434 WANか? 400人全員がWAN越しで認証かけるなら100Mbpsの回線でどうぞ、安いし 移動プロファイルやログオンスクリプト使うなら、そのデータ量に併せて計算ね LANだったらGbE x2のFTで十分 >>436 広域イーサか 認証だけでも集中するなら20〜30Mbpsくらいあったほうが良いかもね そんなに帯域必要とするのかぁ・・・・ 5Mもあれば十分だとおもってた。 ファイルサーバに aaa\bbb というユーザでアクセスすると netbtを利用してドメインコントローラ(?)を探しにブロードキャストにパケット 送るみたい(パケットキャプチャの内容から) この余計なパケットをやめさせる方法はありますか? UDP/137の名前の解決かな? なぜ余計と思う?WINSサーバ使うようにすれば、 ブロードキャストは減るかもだが、 WINSサーバとは通信するのでは? ホストをFQDN指定した場合は、DNSサーバにも 問い合わせるかも(そう出なくても問い合わせてるかな)。 UDP/137をFirewallで止めると何が起きるか? やってみては? ある特定のPCにdhcpサービスでリースされたipを クライアントのコマンドプロンプトから特定する方法を知りたいです。 dhcpサービスを持つサーバは2台あります。 nslookup <コンピュータ名> だと同期前の古い情報しか取れない為、 同期が取れるまで待つか、それぞれのdhcpサーバに リモートでログインしてリース情報を確認している現状です。 nslookup <コンピュータ名> <dhcp1号機> nslookup <コンピュータ名> <dhcp2号機> のようなスイッチも見つけられませんでした。 手の届く範囲であればipconfigで十分事足りるのですが、 遠方の拠点のPCを対象に調査したいのです。 サーバはW2003、クライアントはWXPです。 ActiveDirectory環境です。 お分かりの方、ご教授お願いします。 nslookupの使い方ってことだと、 nslookup -querytype=a www.yahoo.co.jp <dhcp1号機> とか? <dhcp1号機>がDNSサーバもやってて、DHCPと 同期できるなら。 2008だとできるようだが、2003だとどうなんだろ。 動的更新は有効になってないの? ttp://www.atmarkit.co.jp/fwin2k/operation/adprimer006/adprimer006_02.html それか、自分の端末ならGUIでもOKってことなら、管理ツール入れてそこからDHCPサーバに接続して リース情報確認するとか。 コマンドでもできないことはないでしょ。 ttp://www.google.com/search?num=50&hl=ja&q=dhcp+netsh+show+clients netsh dhcp server \\192.168.1.1 scope 192.168.1.0 show clients 1 | findstr "対象ノード名" とか。実際には試してないけど。 >>442 >>443 情報ありがとうございます。 DHCP1号機がDNSやってるかとか、 動的更新が有効かどうかも設定をみてみます。 そもそも動的更新が有効だったら、本件も即解決です。 トラフィックの点とかで問題出てくるんでしょうか。 まず、頂いた情報を元に色々試してみます。 まだまだ検索の仕方が悪いと実感しました。 ありがとうございました。 ADでアクセス権設定してる単体のファイル鯖なんですが DCが落ちた場合は即アクセスできなくなるのでしょうか? ファイル鯖側でもアクセス許可のキャッシュみたいのがあって DC落ちても既存フォルダにはアクセスはできるのでしょうか? Jiro Tanakaが「所有者(owner)」になっている配布リストの一覧を出すDOSコマンドを教えてくだすい。 1台のPCにADユーザが複数ログインしていて ログインした分ローカルユーザプロファイルが出来るんだけど このプロファイルを同一フォルダに統一とか共有することって出来ますか? 環境:移動ユーザプロファイルは使用していない。 固定ユーザプロファイルは使用したくない。 すいません。アドバイスください。 前任者からWORKGROUPからドメイン参加を引き継いだ者です。 ドメイン参加後、ローカルPCのAdministratorsにDomain Adminsが登録されて いないことが判明しました。使用者はDomain Usersとなっています。 AdministratorsにDomain Adminsを参加させる方法はありませんか? そのローカルPCは、遠地のため直接操作する機会がなく困っています。 コンピュータのログインスクリプトでAdministratorsに参加させるwsfを実行していますが 権限不足なのか、反映しません。 mmcでリモートPCにアクセスしてローカルグループの追加をしましたが 「アクセスが拒否されました」で追加できませんでした。 TSは、TSGatway? はじめて聞きましたググってキマス。 ありがとうございました。 >>452 mmcはダメだよな、失礼 mstscでリモート接続できればローカルアドミンで入れるだろうけど 接続先のリモートデスクトップ、Pc-anywhereのFWがOFFなので 途方に暮れていました。TSは試していませんが一度、試してみます。 2000で既存のドメインコントローラ追加時に レプリケーション相手の指定はどのようにすれば よろしいのでしょうか。 後からレプリケーションの方法もあるのでしょうか。 教えてください。 >>455 通常は自動設定済み 色々いじりたいなら「Active Directory サイトとサービス」 >>456 ありがとうございます。 通常時のレプリケーションはサイトでわけるのは わかるんですが、dcpromoで既存のドメインに追加 インストールするときです・・・。 >>457 だから「Active Directory サイトとサービス」 だって dcpromo中は複製に関する設定は無い >>457 DNS使ってDC探すなどしてるので、DNSの指定ができてれば、 順調に進んでレプリケーションもはじまるかと。 すいません、教えてください。 同一LAN・同一DC で利用中、ユーザーの席替えがありました。 席替え後に移動前と同一のIDでログインした時に、移動ユーザープロファイルが反映されなくなってしまいました。 (デスクトップの内容など) 原因としてはなにが考えられるでしょうか。 ご教授お願いいたします。 Windows Server 2008のActive Directoryで、 ユーザアカウントとグループアカウントをスクリプトで 作ることになったんだけど、属性名がさっぱりわからん。 "l"が市区町村だとかなんて情報はどっから得るの? MSDNやリソースキット見たんだけどわからん。 OSが不正にコピー&インストールされプロダクトIDが被ってるクライアントが居る状態で ドメインを構成するとどうなりますか? 多分、公式サポートに聞いても教えてくれないでしょう。 スタートアップスクリプトってUNCパスサポートしてないことに今気づいた んだけど、、、他に逃げ道ある? 各クライアントの端末情報を集めたくて、ipconfigとかの標準出力を 共有サーバに出力したいんだけど。 ちなみにログオンスクリプトはドメインログオンしてない人が多いので、 使えません>< >>466 スタートアップスクリプトでは Windows 共有は素だと無理 タスクスケジューラの起動時を使うといける もしくは、スタートアップスクリプト内で net use 接続 ただパスワードをベタに書くからお勧めはしない >>464 どうなるかはわかるけど教えない。常識だし。 Windows Server 2008 Active Directory スキーマで "user"クラスの"cn"属性は、"mailRecipient", "posixAccount", "person", "top" 4クラスから継承しているようなのですが、"user"クラスの"cn"属性に値を設定するとき、 どのソースクラスの属性であるか意識する必要はあるのでしょうか? また、ソースクラスによって同じ属性でも必須だったりオプションだったりするのですが、 結局、継承先の属性は必須になるのかオプションになるのかわかりません。 ご存知の方がいましたら、教えてください。 AdobeFlashPlayerをサイレンとインストールするようにしたけど、 Flash使ってるHP見るとユーザの権限不足(PowerUser)の為に設定で こけてしまっている。 結局Admin権限ないとインストール出来ないだったら意味ないし、 何かいい解決法ないか教えてエロイ人。 >>464 ってVista以外なら実は問題無さそうだけどな。 社内システムでなにやら、「Active Directory」というものを使おうとしてます。 そこでActive Directoryはどのようなことができるのでしょうか? システムに制限が掛けられる??? ただのクライアントの私には関係ないのでしょうか? お分かりの方よろしくお願いします。 タダのクライアントなら管理者のなすがままなので流れに身を任せてください。 >>473 ドメインユーザに一律でポリシーを当てられる。 それくらい。 ワークグループでの管理とActive Directoryでの管理でセキュリティ的に違いはありますか? 管理者がクライアントの管理が楽になるかならないかの違いですか? よろしくお願いします。 ※ただしドメインコントローラが正しい時刻を知っている場合に限る 2008からのNAPは、それなりに使えるんじゃね? それまでは、サードパーティ製に頼ってたことが、2008だけである程度実現できるようになったわけで。 クライアントがXPSP3以降に限定されてしまうけど。 誰がどのPCを使っているか書かれたリストをなくしてしまい困っています。 ドメイン参加の250台ちかくPCがあるんですが、最後にログオンした人をそれぞれのコンピュータ名で知る方法はありますか? または、アカウントがどのPCにログオンしたのかでも分かればいいです。 ドメイン参加してるんならリモートからレジストリ開いて Winlogon の下の DefaultUserName でも 暇な時にえっちらおっちら調べれば良いんじゃないの。バッチにするなりなんなりすれば流すだけだし。 全台数上がっているならリモートから覗くでも良いだろうけど、 ログオンスクリプトで echo %COMPUTERNAME%,%USERNAME%>\\server\share\%COMPUTERNAME%.txt の方が楽 もっと色々やりたいならWSHでCIMV2たたくとか Windows Server 2008 ロックアウトを解除するプログラムを作成したい。 しかし、Active Directory が、どこの属性の値を判断して ロックアウト状態であると認識しているかわかりません。 UserAccountControlのフラグの説明を見たら、 ms-DS-User-Account-Control-Computedに置き換わりましたと 記載されていたのですが、簡易プログラムを作成して属性の値を見たのですが、 ロックアウト状態でも値が0のままでした。 それともう一つ、ADSIエディタでms-DS-User-Account-Control-Computedの 属性が表示されないのですが、仕様ですか? >>483 ttp://msdn.microsoft.com/en-us/library/ms676843(VS.85).aspx ttp://en.csharp-online.net/User_Management_with_Active_Directory%E2%80%94Determining_Account_Lockout ttp://forums.techarena.in/active-directory/646125.htm ttp://dunnry.com/blog/CategoryView,category,Lockout.aspx 何を以てロックアウトであると判断するのか、であればlockoutTimeを見るのが良いのかね。 手元の2000 AD環境でロックアウトさせてみたアカウントのlockoutTimeに0を突っ込んだら(デフォルトはnot set)、解除されたよ。 ms-DS-User-Account-Control-Computed の方は2008の環境がないのでわからんね。 WEB認証をLDAP認証にしたいけど ADは入れられなかったので ADAMで作成しているんだけど。 作成したユーザのパスワード変更を WEB経由できなくてはまっています。 成功例があれば教えてもらえないでしょうか? phpldapadminだとuserPasswordが 表示されないのは型が違うからだと思うので やっぱり、ADSIを.netとかWSHでゴニョゴニョなのかな… ホームフォルダとは、何に利用するために設定するのでしょうか? リソースキット等の書籍を参照しても、説明が載っていません。 そもそもホームフォルダとは何ですか? ログオン時のカレントディレクトリがその場所を指しているぐらいしか分かっていません。 DCとなるPCに複数のIPアドレスを割り当てたまま、 一つのドメインを構築するとどうなりますか? >>487 ユーザ毎の作業机みたいなの? >>488 別に。 ドメインは、そういうネットワークセグメントの制限を超えて管理することができることも特長の一つだから。 >>487 > ホームフォルダとは、何に利用するために設定するのでしょうか? セキュリティーの強化の為にあると思ってくれたらいい ローカルにフォルダ置くと情報漏洩の恐れがある(PCの盗難など) そこでサーバーに置くように指示すればリスク減るわけ read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる