Windows★Active Directoryｽﾚ

**チーママ** · 04/07/24 18:24

なかったので立てました。
管理者のみなさん、一緒にお話しませんこと？

**名無し~3.EXE** · 2008/05/18(日) 23:32:31

>>391

インストールした時間とかNICのMACアドレスとか色々な要素らしい。
生成に関するアルゴリズムとか要素は公開されて無かったと思う。

>悪意をもった人間がSIDを偽装することはできるのですか？

理論的には可能。

**名無し~3.EXE** · 2008/05/19(月) 00:38:59

>>391
sambaとかだと、SIDを明示的に指定することも
できたんではなかったかな。

**初心者** · 2008/05/19(月) 00:59:17

なるほど、回答いただいた方々ありがとうございます。
不明だったことがだいぶ解決しました。

そうすると、ＳＩＤが偽装できなと仮定するとＩＤとパスが漏れても
他のＰＣからはログインできないという事でいいのでしょうか？
他のＰＣからドメイン上のファイルにアクセスする方法とかあるのでしょうか？

**名無し~3.EXE** · 2008/05/19(月) 01:07:44

>>394
ドメインに参加してないPCでも共有リソースアクセス時にユーザー名とパスワード入れればアクセスできるぞ。

それをADの機能だけで抑制出来たかなぁ？

**名無し~3.EXE** · 2008/05/19(月) 07:21:30

>>ドメインに参加してないPCでも共有リソースアクセス時にユーザー名とパスワード入れればアクセスできるぞ。

デフォルトだとそうだよね。

>>394

コンピュータアカウントで制御していれば、
多少、そういう感じにできるのかもだけど、
デフォルトでは、ADのユーザは任意のコンピュータを
ドメインに参加できる。

　重複したコンピュータ名は参加させられないだろうけど、
　権限によっては、参加できるようにも。

ドメイン参加のアクセス権関係は、あまりいい資料が
みつかりにくいかも。いろいろ、試行錯誤しても
持ってるのが書籍情報だけだとわかりにくそう。

　ドメイン参加専用のユーザを作るとか。

**387** · 2008/05/20(火) 22:14:37

>>388
お礼遅くなりましたが、ありがとうございます。
助かりました。

**名無し~3.EXE** · 2008/05/30(金) 12:57:20

SIDからドメインのユーザ名を特定することって出来ないのでしょうか？

やりたいことはVBScript(WSH)でセキュリティポリシーの設定を
取得したり設定したりするツールの作成です。

seceditコマンドで設定をエクスポートすると、「ユーザ権利の割り当て」
等の項目はユーザ名がSIDで出力されます。ローカルユーザは
WMIのwin32_accountを使ってユーザ名を特定できたのですが、
ドメインユーザはwin32_accountでは取得できません。

逆にドメインユーザ名からSIDを特定する方法として
dsquery user -samid domain\user | dsget user -sid
があるので、最悪の場合使用が想定されるドメインユーザのSID一覧を
あらかじめ作成しておいて照合するしか無いか？と諦めかけています。

どなたか良い方法をご存知でしたら教えて頂けないでしょうか。

**名無し~3.EXE** · 2008/05/30(金) 14:11:15

>>398

ADSIでサーバに聞けばいい。

**名無し~3.EXE** · 2008/06/17(火) 00:03:37

超ど初心者です。
Computerコンテナに10ぐらいのPCがあって、Userコンテナは権限の異なる10ぐらいのUserがいます。
やりたいこと
特定のComputerのみに誰でも（どのUserでも）リモートデスクトップでログインできるようにしたいのですが、どうすれば良いですか？

ヒントサイトだけでも良いので教えてください。

**名無し~3.EXE** · 2008/06/17(火) 00:24:25

>>400
同時にログインできるのは2人までだけど、本当にいいの？

**名無し~3.EXE** · 2008/06/17(火) 05:22:54

>>400
自分ならRemote Desktop UsersグループにDomain Users追加しますね。
ADでいい方法あるのかな。

**名無し~3.EXE** · 2008/06/20(金) 01:19:32

ADSIでGCの内容ってみれるんでしたっけ？

ご存知の方いらっしゃいましたら教えてくださいませ。

**名無し~3.EXE** · 2008/07/03(木) 20:55:40

今、システムのテスト中なんだけど、ラッシュテストを行う際のＡＤの負荷を計測
しろと言われてます。特に、ＡＤに対して、ＬＤＡＰのリクエストが発行されている
量・頻度を記録するように、と言われてます。

何か、良い方法ありますか？

**名無し~3.EXE** · 2008/07/04(金) 13:50:58

あるユーザが所属しているOUをPCのコマンドプロンプトから確認したいです。
グループの確認は

net user <ユーザ名> /domain

で確認出来たんですが…。
ADにログインして確認するのではなく、
PCのコマンドプロンプト上から確認したいです。
gpresultでスイッチ調べましたがうまくいきませんでした。

どなたか教えて下さい。お願いします。

**405** · 2008/07/04(金) 16:53:52

補足させて頂きます。

gpresult /user <ドメイン名>\<ユーザ名>

すると「SID情報を取得中…」と、いけそうになるのですが
「情報：ユーザー "<ドメイン名>\<ユーザ名>" にRSOPデータがありません。」
と表示されてしまいます。

管理者権限に昇格してもダメでした。
どなたか情報お願いします。

**名無し~3.EXE** · 2008/07/04(金) 18:16:19

netdomコマンドじゃだめなの？

**405** · 2008/07/04(金) 20:02:23

>>407

情報ありがとうございます。

netdom query

で出来そうと思い小一時間格闘してみましたが、未だ出来ずorz

**名無し~3.EXE** · 2008/07/04(金) 23:10:37

>>405
ADSI@WSHで、できるか知らんけど
http://pwp1.atcms.jp/mokurin/index.php?ADSI%2F%A5%C9%A5%E1%A5%A4%A5%F3
あたりヒントになるかな

**名無し~3.EXE** · 2008/07/05(土) 01:32:38

PCに管理ツールインストールして
dsquery user -user tanakaはどう？
"CN=tanaka,OU=組織１,DC=testad,DC=testcorp,DC=local"

**名無し~3.EXE** · 2008/07/05(土) 01:49:48

×dsquery user -user tanaka
○dsquery user -name tanaka

**名無し~3.EXE** · 2008/07/05(土) 14:24:12

>>404
> 何か、良い方法ありますか？

パフォーマンスモニタで良いんじゃないの。NTDSオブジェクトのカウンタがたくさんあるでしょ。

**405** · 2008/07/07(月) 17:42:55

>>410
レスありがとうございます。

管理ツールをインストールして、
dsqueryコマンドで確認する方法を取ることにします。
ありがとうございました。

**名無し~3.EXE** · 2008/07/10(木) 00:36:43

ADのDNSについて、ちょっと気になることがあるので
ご存知の方がいたら教えてください。

W2003R2で稼働中のAD、DNSです。
PCを参加させている途中で1台だけAレコードが大文字で表記されているのですが
大文字で登録されるケースと小文字で登録されるケースで何か違いがあるんでしょうか？

ほかのホスト名に変えると小文字で登録されるのですが
ホスト名以外は同じセットアップを行った同じクライアントで何が違うのかが非常に気になります。
というか、DNSの管理で1台だけ大文字なので非常に目に付きます。

同じような現象にあわれた方で、解決方法をご存知の方がいたら
教えてやってください。

**名無し~3.EXE** · 2008/07/10(木) 02:52:58

それで問題は発生したの？

**名無し~3.EXE** · 2008/07/10(木) 22:51:12

質問です。
Windows 2003 の　Active Directory　についてですが。
ユーザのプロパティで、ユーザがいつパスワードを変更したか、とか、SIDの確認等が見れるようにする方法が
あったかと思います。
確か何かのファイルをWindows上に保存するかインストールする事でできたかと思います。
どなたかファイル名、もしくは方法を知っていたら、教えてください

うるおぼえですが、確かそのファイルを設定する事により、ユーザとコンピュータでユーザのプロファイルのタブが１つ増えたはずです。

**名無し~3.EXE** · 2008/07/11(金) 00:00:27

ADSI

**名無し~3.EXE** · 2008/07/13(日) 19:23:16

>>415
運用上の問題はまるでないと思いますが、
エンドから質問されるって不可避の問題が発生してます。

**名無し~3.EXE** · 2008/07/13(日) 19:57:46

DNSのドメイン名は大文字小文字で区別してないので、問題は起きないはずなんだけどね。
一緒だから製品上の仕様ですで逃げれないのかな？

**名無し~3.EXE** · 2008/07/13(日) 21:44:29

>>419
レス、ありがと。
ホスト名でow-01～16まで並んでるんだけど
OW-01だけが大文字になってるんです。
それを見てから、うるさくてうるさくて。。。

一度、マシン名を他の名前(temp)に変更してから
小文字でow-01と入れなおしてみたんですが、
一時的に小文字になるだけで、次にDNSの管理を開いたときには大文字に変わってしまってます。

ADへの参加しなおしもやってみましたが、駄目で
再インストールは提案したら却下されました。

**名無し~3.EXE** · 2008/07/16(水) 00:59:27

>>420
AD上に登録されてるコンピュータオブジェクトは大文字になってる？小文字になってる？

もし一度大文字のホスト名でAD参加させてるなら、それが影響してるかも。

・対象ホストをドメインから一度外す
・対象ホストのコンピュータアカウントをAD上から削除
・DNSで対象ホストのAレコードを削除
・対象ホストのホスト名が小文字であることを確認
・再度ドメイン参加

これで直らんかな？

単純に、大文字小文字の区別が無いことをMSのソースで示せればいいなら、
ここを読んで解釈すればいいような気もするが。

登録は大文字小文字を区別するが、
クライアントや他のDNSに返すときは一律で小文字で返す、
と書いてあるように見える。

ttp://technet2.microsoft.com/WindowsServer/ja/library/4f9d39f0-5001-44fc-a75e-922b408165091041.mspx?mfr=true

**名無し~3.EXE** · 2008/07/16(水) 15:08:43

>>421

レス、ありがとうございます。
コンピューターオブジェクトはクライアント、サーバ、すべて大文字です。

ドメインからの離脱は一度試してみました。
その際の手順は、下記のとおりでほぼ同じです。

・ドメインから離脱
・DNS、ドメコンでコンピュータの削除
・全サイトへの強制レプリカ
・対象ホストを別の名称に変更(ow-01 から temp)
・対象ホストを指定名称に変更(temp から ow-01)
・再度、ドメイン参加

この手順後、一瞬は小文字になったのですが
DNSの管理を開きなおしたら大文字に変わっていました。。。

**名無し~3.EXE** · 2008/07/17(木) 10:55:43

グループポリシー使ってアカウントのログインの失敗情報のログを取る方法って
ないですかね？

CSVDEのデータだと無駄な部分が多すぎるのと、いろんな項目がバイナリコード
で吐き出してくるからどのアカウントでログイン失敗したのかがすぐ
分からないんで・・・

**名無し~3.EXE** · 2008/07/17(木) 18:18:44

>>423
監査ログ＋WSHは？

**名無し~3.EXE** · 2008/07/17(木) 23:20:31

こういうの？

ttp://www.monyo.com/technical/windows/35.html

一般ユーザの場合、全DCに「イベントログ」のアクセス権の設定もいるよう。

**名無し~3.EXE** · 2008/07/23(水) 12:49:58

ある一つのユーザーに、ドメインの中では制限ユーザなんだけど
単一のクライアントに対しては管理者権限を持たせる
なんて事はできるのかな？

**名無し~3.EXE** · 2008/07/23(水) 14:00:32

>426
ちったぁヤフれ
http://soudan1.biglobe.ne.jp/qa2678183.html

**名無し~3.EXE** · 2008/07/23(水) 18:31:29

>>426
考える必要もないくらい簡単なことだろ

**名無し~3.EXE** · 2008/08/27(水) 18:06:17

NT40のDCをServer2003のADにアップグレードしました。
この環境にNT40のBDCを追加してみようかと思ったのですが、
NTセットアップ中のドメイン登録でドメインコントローラに接続できません
というエラーになって先に進みません。
アップグレードしたServer2003は混在モードなので、いけると思ったのですが。
何か情報ありますでしょうか。

**名無し~3.EXE** · 2008/08/29(金) 23:24:32

>>429
なんでNT4なの？

**429** · 2008/08/30(土) 09:17:58

メンバーが少ない拠点には、アカウントの複製だけで十分だと思ったので、
あえてNT4のBDCでも置いてみようかと思ったのですが、
無理でしょうかね。

**名無し~3.EXE** · 2008/08/30(土) 16:18:17

BDCとしてセットアップするPCの、NICのドライバを正しく入れてます?
ルータを越える必要があるなら、LMHOSTSをインポートしています?

それ以前に、すでにサポートの終わったNT4を使うリスクは認識してます?
業務に使うなら何かあったときにサポート終了したから対処できませんでは
すまないでしょうに。
DCのアップグレードもそのためにやったんじゃないの?

**名無し~3.EXE** · 2008/09/02(火) 15:11:17

ほうほう

**名無し~3.EXE** · 2008/09/03(水) 18:03:37

４００人くらいの会社で
AD導入しようとおもってるんだけど
朝９時出社時にどのくらいのネットワーク帯域を
確保しておけばいいのでしょうか？
シングルドメインで、組織構成も簡単。
部門も１０個くらいしかなく、
プリンタとかファイルサーバーとかもそんなにありません。
NTTに聞いたら１０－２０Mの帯域は覚悟しておけって
いわれたんだけど。

**名無し~3.EXE** · 2008/09/03(水) 20:44:58

>>434
WANか？
400人全員がWAN越しで認証かけるなら100Mbpsの回線でどうぞ、安いし
移動プロファイルやログオンスクリプト使うなら、そのデータ量に併せて計算ね

LANだったらGbE x2のFTで十分

**名無し~3.EXE** · 2008/09/03(水) 21:18:32

IP-VPNでイーサ回線でやれって言うんだよね

**名無し~3.EXE** · 2008/09/03(水) 21:23:38

>>436
広域イーサか
認証だけでも集中するなら20～30Mbpsくらいあったほうが良いかもね

**名無し~3.EXE** · 2008/09/03(水) 21:25:04

そんなに帯域必要とするのかぁ・・・・
５Mもあれば十分だとおもってた。

**名無し~3.EXE** · 2008/09/04(木) 01:27:23

ファイルサーバに
aaa\bbb
というユーザでアクセスすると
netbtを利用してドメインコントローラ（？）を探しにブロードキャストにパケット
送るみたい（パケットキャプチャの内容から）

この余計なパケットをやめさせる方法はありますか？

**名無し~3.EXE** · 2008/09/04(木) 08:06:34

UDP/137の名前の解決かな？
なぜ余計と思う？WINSサーバ使うようにすれば、
ブロードキャストは減るかもだが、
WINSサーバとは通信するのでは？
ホストをFQDN指定した場合は、DNSサーバにも
問い合わせるかも（そう出なくても問い合わせてるかな）。

UDP/137をFirewallで止めると何が起きるか？
やってみては？

**名無し~3.EXE** · 2008/09/11(木) 15:33:05

ある特定のPCにdhcpサービスでリースされたipを
クライアントのコマンドプロンプトから特定する方法を知りたいです。
dhcpサービスを持つサーバは2台あります。

nslookup <コンピュータ名>

だと同期前の古い情報しか取れない為、
同期が取れるまで待つか、それぞれのdhcpサーバに
リモートでログインしてリース情報を確認している現状です。

nslookup <コンピュータ名> <dhcp1号機>
nslookup <コンピュータ名> <dhcp2号機>

のようなスイッチも見つけられませんでした。
手の届く範囲であればipconfigで十分事足りるのですが、
遠方の拠点のPCを対象に調査したいのです。

サーバはW2003、クライアントはWXPです。
ActiveDirectory環境です。

お分かりの方、ご教授お願いします。

**名無し~3.EXE** · 2008/09/12(金) 00:12:36

nslookupの使い方ってことだと、

nslookup -querytype=a www.yahoo.co.jp <dhcp1号機>

とか？

<dhcp1号機>がDNSサーバもやってて、DHCPと
同期できるなら。

　2008だとできるようだが、2003だとどうなんだろ。

**名無し~3.EXE** · 2008/09/12(金) 00:45:49

動的更新は有効になってないの？
ttp://www.atmarkit.co.jp/fwin2k/operation/adprimer006/adprimer006_02.html

それか、自分の端末ならGUIでもOKってことなら、管理ツール入れてそこからDHCPサーバに接続して
リース情報確認するとか。

コマンドでもできないことはないでしょ。
ttp://www.google.com/search?num=50&hl=ja&q=dhcp+netsh+show+clients

netsh dhcp server \\192.168.1.1 scope 192.168.1.0 show clients 1 | findstr "対象ノード名"

とか。実際には試してないけど。

**441** · 2008/09/12(金) 08:33:06

>>442
>>443
情報ありがとうございます。

DHCP1号機がDNSやってるかとか、
動的更新が有効かどうかも設定をみてみます。
そもそも動的更新が有効だったら、本件も即解決です。
トラフィックの点とかで問題出てくるんでしょうか。

まず、頂いた情報を元に色々試してみます。
まだまだ検索の仕方が悪いと実感しました。
ありがとうございました。

**名無し~3.EXE** · 2008/09/13(土) 17:23:49

ADでアクセス権設定してる単体のファイル鯖なんですが
DCが落ちた場合は即アクセスできなくなるのでしょうか？
ファイル鯖側でもアクセス許可のキャッシュみたいのがあって
DC落ちても既存フォルダにはアクセスはできるのでしょうか？

**名無し~3.EXE** · 2008/09/14(日) 23:18:16

>>445
ご参考
Active Directory を導入する 11 の魅力
http://www.microsoft.com/japan/windowsserver2003/technologies/directory/activedirectory/guide/advantages01.mspx

キャッシュでアクセスは出来るけど、それにも期限があるので注意。

**名無し~3.EXE** · 2008/09/18(木) 01:01:23

期限ってデフォルト値とかあるのかな？

**名無し~3.EXE** · 2008/10/16(木) 23:55:49

Jiro Tanakaが「所有者(owner)」になっている配布リストの一覧を出すDOSコマンドを教えてくだすい。

**名無し~3.EXE** · 2008/10/21(火) 21:13:12

1台のPCにADユーザが複数ログインしていて
ログインした分ローカルユーザプロファイルが出来るんだけど
このプロファイルを同一フォルダに統一とか共有することって出来ますか？

環境：移動ユーザプロファイルは使用していない。
固定ユーザプロファイルは使用したくない。

**名無し~3.EXE** · 2008/10/24(金) 23:20:13

すいません。アドバイスください。
前任者からWORKGROUPからドメイン参加を引き継いだ者です。

ドメイン参加後、ローカルPCのAdministratorsにDomain Adminsが登録されて
いないことが判明しました。使用者はDomain Usersとなっています。
AdministratorsにDomain Adminsを参加させる方法はありませんか？

そのローカルPCは、遠地のため直接操作する機会がなく困っています。

コンピュータのログインスクリプトでAdministratorsに参加させるwsfを実行していますが
権限不足なのか、反映しません。

**名無し~3.EXE** · 2008/10/25(土) 00:39:04

>>450
mmcやtsはダメ？

**450** · 2008/10/25(土) 10:26:09

mmcでリモートPCにアクセスしてローカルグループの追加をしましたが
「アクセスが拒否されました」で追加できませんでした。
TSは、TSGatway?
はじめて聞きましたググってキマス。
ありがとうございました。

**名無し~3.EXE** · 2008/10/25(土) 12:18:32

>>452
mmcはダメだよな、失礼
mstscでリモート接続できればローカルアドミンで入れるだろうけど

**450** · 2008/10/25(土) 13:10:59

接続先のリモートデスクトップ、Pc-anywhereのFWがOFFなので
途方に暮れていました。TSは試していませんが一度、試してみます。

**名無し~3.EXE** · 2008/10/26(日) 22:27:16

2000で既存のドメインコントローラ追加時に
レプリケーション相手の指定はどのようにすれば
よろしいのでしょうか。
後からレプリケーションの方法もあるのでしょうか。
教えてください。

**名無し~3.EXE** · 2008/10/26(日) 22:58:51

>>455
通常は自動設定済み
色々いじりたいなら「Active Directory サイトとサービス」

**名無し~3.EXE** · 2008/10/26(日) 23:09:23

>>456
ありがとうございます。
通常時のレプリケーションはサイトでわけるのは
わかるんですが、dcpromoで既存のドメインに追加
インストールするときです・・・。

**名無し~3.EXE** · 2008/10/26(日) 23:19:56

>>457
だから「Active Directory サイトとサービス」だって
dcpromo中は複製に関する設定は無い

**名無し~3.EXE** · 2008/10/26(日) 23:50:18

>>457

DNS使ってDC探すなどしてるので、DNSの指定ができてれば、
順調に進んでレプリケーションもはじまるかと。

**名無し~3.EXE** · 2008/10/29(水) 09:59:20

すいません、教えてください。
同一LAN・同一DC で利用中、ユーザーの席替えがありました。
席替え後に移動前と同一のIDでログインした時に、移動ユーザープロファイルが反映されなくなってしまいました。
（デスクトップの内容など）

原因としてはなにが考えられるでしょうか。
ご教授お願いいたします。

**名無し~3.EXE** · 2008/10/29(水) 19:55:45

・ログオンできるコンピュータが指定されている。

**名無し~3.EXE** · 2009/01/18(日) 01:22:14

Windows Server 2008のActive Directoryで、
ユーザアカウントとグループアカウントをスクリプトで
作ることになったんだけど、属性名がさっぱりわからん。
"l"が市区町村だとかなんて情報はどっから得るの？

MSDNやリソースキット見たんだけどわからん。

**名無し~3.EXE** · 2009/01/18(日) 09:44:16

>>462
ADSIでぐぐれば引っかかるかも

**名無し~3.EXE** · 2009/01/19(月) 22:49:30

ＯＳが不正にコピー＆インストールされプロダクトＩＤが被ってるクライアントが居る状態で
ドメインを構成するとどうなりますか？

多分、公式サポートに聞いても教えてくれないでしょう。

**名無し~3.EXE** · 2009/01/19(月) 23:09:51

>>464
シネ

**名無し~3.EXE** · 2009/01/20(火) 09:08:26

スタートアップスクリプトってUNCパスサポートしてないことに今気づいた
んだけど、、、他に逃げ道ある？
各クライアントの端末情報を集めたくて、ipconfigとかの標準出力を
共有サーバに出力したいんだけど。

ちなみにログオンスクリプトはドメインログオンしてない人が多いので、
使えません＞＜

**名無し~3.EXE** · 2009/01/20(火) 21:42:46

>>466
スタートアップスクリプトでは Windows 共有は素だと無理
タスクスケジューラの起動時を使うといける
もしくは、スタートアップスクリプト内で net use 接続
ただパスワードをベタに書くからお勧めはしない

**名無し~3.EXE** · 2009/01/28(水) 20:54:00

>>464
どうなるかはわかるけど教えない。常識だし。

**名無し~3.EXE** · 2009/01/29(木) 23:33:57

Windows Server 2008

Active Directory スキーマで
"user"クラスの"cn"属性は、"mailRecipient", "posixAccount", "person", "top"
４クラスから継承しているようなのですが、"user"クラスの"cn"属性に値を設定するとき、
どのソースクラスの属性であるか意識する必要はあるのでしょうか？
また、ソースクラスによって同じ属性でも必須だったりオプションだったりするのですが、
結局、継承先の属性は必須になるのかオプションになるのかわかりません。

ご存知の方がいましたら、教えてください。

**名無し~3.EXE** · 2009/01/31(土) 18:02:34

AdobeFlashPlayerをサイレンとインストールするようにしたけど、
Flash使ってるHP見るとユーザの権限不足(PowerUser)の為に設定で
こけてしまっている。
結局Admin権限ないとインストール出来ないだったら意味ないし、
何かいい解決法ないか教えてエロイ人。

**名無し~3.EXE** · 2009/02/01(日) 10:49:41

>>464ってVista以外なら実は問題無さそうだけどな。

**名無し~3.EXE** · 2009/02/03(火) 03:06:25

むしろVISTAだと問題あるのか？

**名無し~3.EXE** · 2009/02/22(日) 22:18:45

社内システムでなにやら、「Active Directory」というものを使おうとしてます。
そこでActive Directoryはどのようなことができるのでしょうか？
システムに制限が掛けられる？？？
ただのクライアントの私には関係ないのでしょうか？
お分かりの方よろしくお願いします。

**名無し~3.EXE** · 2009/02/23(月) 02:18:52

タダのクライアントなら管理者のなすがままなので流れに身を任せてください。

**名無し~3.EXE** · 2009/02/23(月) 02:31:24

>>473
ドメインユーザに一律でポリシーを当てられる。
それくらい。

**名無し~3.EXE** · 2009/02/25(水) 14:30:32

ワークグループでの管理とActive Directoryでの管理でセキュリティ的に違いはありますか？
管理者がクライアントの管理が楽になるかならないかの違いですか？

よろしくお願いします。

**名無し~3.EXE** · 2009/03/05(木) 17:03:22

>>473
クライアントの利点
時計が正確になる

**名無し~3.EXE** · 2009/03/06(金) 21:27:18

※ただしドメインコントローラが正しい時刻を知っている場合に限る

**名無し~3.EXE** · 2009/03/07(土) 15:19:02

2008からのNAPは、それなりに使えるんじゃね？
それまでは、サードパーティ製に頼ってたことが、2008だけである程度実現できるようになったわけで。
クライアントがXPSP3以降に限定されてしまうけど。

**名無し~3.EXE** · 2009/03/10(火) 15:21:46

誰がどのPCを使っているか書かれたリストをなくしてしまい困っています。

ドメイン参加の250台ちかくPCがあるんですが、最後にログオンした人をそれぞれのコンピュータ名で知る方法はありますか？

または、アカウントがどのPCにログオンしたのかでも分かればいいです。

**名無し~3.EXE** · 2009/03/10(火) 22:36:14

ドメイン参加してるんならリモートからレジストリ開いて Winlogon の下の DefaultUserName でも
暇な時にえっちらおっちら調べれば良いんじゃないの。バッチにするなりなんなりすれば流すだけだし。

**名無し~3.EXE** · 2009/03/10(火) 22:54:31

全台数上がっているならリモートから覗くでも良いだろうけど、
ログオンスクリプトで
echo %COMPUTERNAME%,%USERNAME%>\\server\share\%COMPUTERNAME%.txt
の方が楽
もっと色々やりたいならWSHでCIMV2たたくとか

**名無し~3.EXE** · 2009/03/11(水) 21:51:08

Windows Server 2008

ロックアウトを解除するプログラムを作成したい。
しかし、Active Directory が、どこの属性の値を判断して
ロックアウト状態であると認識しているかわかりません。

UserAccountControlのフラグの説明を見たら、
ms-DS-User-Account-Control-Computedに置き換わりましたと
記載されていたのですが、簡易プログラムを作成して属性の値を見たのですが、
ロックアウト状態でも値が0のままでした。

それともう一つ、ADSIエディタでms-DS-User-Account-Control-Computedの
属性が表示されないのですが、仕様ですか？

**名無し~3.EXE** · 2009/03/11(水) 23:18:59

>>483
ttp://msdn.microsoft.com/en-us/library/ms676843(VS.85).aspx
ttp://en.csharp-online.net/User_Management_with_Active_Directory%E2%80%94Determining_Account_Lockout
ttp://forums.techarena.in/active-directory/646125.htm
ttp://dunnry.com/blog/CategoryView,category,Lockout.aspx

何を以てロックアウトであると判断するのか、であればlockoutTimeを見るのが良いのかね。
手元の2000 AD環境でロックアウトさせてみたアカウントのlockoutTimeに0を突っ込んだら（デフォルトはnot set）、解除されたよ。

ms-DS-User-Account-Control-Computed の方は2008の環境がないのでわからんね。

**名無し~3.EXE** · 2009/03/11(水) 23:43:58

ありがとう
明日試してみます。

**名無し~3.EXE** · 2009/03/12(木) 22:48:41

WEB認証をLDAP認証にしたいけど
ADは入れられなかったので
ADAMで作成しているんだけど。

作成したユーザのパスワード変更を
WEB経由できなくてはまっています。

成功例があれば教えてもらえないでしょうか？

phpldapadminだとuserPasswordが
表示されないのは型が違うからだと思うので
やっぱり、ADSIを.netとかWSHでゴニョゴニョなのかな…

**名無し~3.EXE** · 2009/03/25(水) 21:50:11

ホームフォルダとは、何に利用するために設定するのでしょうか？
リソースキット等の書籍を参照しても、説明が載っていません。

そもそもホームフォルダとは何ですか？
ログオン時のカレントディレクトリがその場所を指しているぐらいしか分かっていません。

**名無し~3.EXE** · 2009/03/29(日) 09:40:27

ＤＣとなるＰＣに複数のＩＰアドレスを割り当てたまま、
一つのドメインを構築するとどうなりますか？

>>487
ユーザ毎の作業机みたいなの？

**名無し~3.EXE** · 2009/04/16(木) 17:33:19

age

**名無し~3.EXE** · 2009/04/16(木) 18:57:31

>>488
別に。
ドメインは、そういうネットワークセグメントの制限を超えて管理することができることも特長の一つだから。

**名無し~3.EXE** · 2009/04/17(金) 23:21:01

>>487
＞ホームフォルダとは、何に利用するために設定するのでしょうか？

セキュリティーの強化の為にあると思ってくれたらいい
ローカルにフォルダ置くと情報漏洩の恐れがある（PCの盗難など）
そこでサーバーに置くように指示すればリスク減るわけ