Windows★Active Directoryスレ
なかったので立てました。 管理者のみなさん、一緒にお話しませんこと? メンバーが少ない拠点には、アカウントの複製だけで十分だと思ったので、 あえてNT4のBDCでも置いてみようかと思ったのですが、 無理でしょうかね。 BDCとしてセットアップするPCの、NICのドライバを正しく入れてます? ルータを越える必要があるなら、LMHOSTSをインポートしています? それ以前に、すでにサポートの終わったNT4を使うリスクは認識してます? 業務に使うなら何かあったときにサポート終了したから対処できませんでは すまないでしょうに。 DCのアップグレードもそのためにやったんじゃないの? 400人くらいの会社で AD導入しようとおもってるんだけど 朝9時出社時にどのくらいのネットワーク帯域を 確保しておけばいいのでしょうか? シングルドメインで、組織構成も簡単。 部門も10個くらいしかなく、 プリンタとかファイルサーバーとかもそんなにありません。 NTTに聞いたら10−20Mの帯域は覚悟しておけって いわれたんだけど。 >>434 WANか? 400人全員がWAN越しで認証かけるなら100Mbpsの回線でどうぞ、安いし 移動プロファイルやログオンスクリプト使うなら、そのデータ量に併せて計算ね LANだったらGbE x2のFTで十分 >>436 広域イーサか 認証だけでも集中するなら20〜30Mbpsくらいあったほうが良いかもね そんなに帯域必要とするのかぁ・・・・ 5Mもあれば十分だとおもってた。 ファイルサーバに aaa\bbb というユーザでアクセスすると netbtを利用してドメインコントローラ(?)を探しにブロードキャストにパケット 送るみたい(パケットキャプチャの内容から) この余計なパケットをやめさせる方法はありますか? UDP/137の名前の解決かな? なぜ余計と思う?WINSサーバ使うようにすれば、 ブロードキャストは減るかもだが、 WINSサーバとは通信するのでは? ホストをFQDN指定した場合は、DNSサーバにも 問い合わせるかも(そう出なくても問い合わせてるかな)。 UDP/137をFirewallで止めると何が起きるか? やってみては? ある特定のPCにdhcpサービスでリースされたipを クライアントのコマンドプロンプトから特定する方法を知りたいです。 dhcpサービスを持つサーバは2台あります。 nslookup <コンピュータ名> だと同期前の古い情報しか取れない為、 同期が取れるまで待つか、それぞれのdhcpサーバに リモートでログインしてリース情報を確認している現状です。 nslookup <コンピュータ名> <dhcp1号機> nslookup <コンピュータ名> <dhcp2号機> のようなスイッチも見つけられませんでした。 手の届く範囲であればipconfigで十分事足りるのですが、 遠方の拠点のPCを対象に調査したいのです。 サーバはW2003、クライアントはWXPです。 ActiveDirectory環境です。 お分かりの方、ご教授お願いします。 nslookupの使い方ってことだと、 nslookup -querytype=a www.yahoo.co.jp <dhcp1号機> とか? <dhcp1号機>がDNSサーバもやってて、DHCPと 同期できるなら。 2008だとできるようだが、2003だとどうなんだろ。 動的更新は有効になってないの? ttp://www.atmarkit.co.jp/fwin2k/operation/adprimer006/adprimer006_02.html それか、自分の端末ならGUIでもOKってことなら、管理ツール入れてそこからDHCPサーバに接続して リース情報確認するとか。 コマンドでもできないことはないでしょ。 ttp://www.google.com/search?num=50&hl=ja&q=dhcp+netsh+show+clients netsh dhcp server \\192.168.1.1 scope 192.168.1.0 show clients 1 | findstr "対象ノード名" とか。実際には試してないけど。 >>442 >>443 情報ありがとうございます。 DHCP1号機がDNSやってるかとか、 動的更新が有効かどうかも設定をみてみます。 そもそも動的更新が有効だったら、本件も即解決です。 トラフィックの点とかで問題出てくるんでしょうか。 まず、頂いた情報を元に色々試してみます。 まだまだ検索の仕方が悪いと実感しました。 ありがとうございました。 ADでアクセス権設定してる単体のファイル鯖なんですが DCが落ちた場合は即アクセスできなくなるのでしょうか? ファイル鯖側でもアクセス許可のキャッシュみたいのがあって DC落ちても既存フォルダにはアクセスはできるのでしょうか? Jiro Tanakaが「所有者(owner)」になっている配布リストの一覧を出すDOSコマンドを教えてくだすい。 1台のPCにADユーザが複数ログインしていて ログインした分ローカルユーザプロファイルが出来るんだけど このプロファイルを同一フォルダに統一とか共有することって出来ますか? 環境:移動ユーザプロファイルは使用していない。 固定ユーザプロファイルは使用したくない。 すいません。アドバイスください。 前任者からWORKGROUPからドメイン参加を引き継いだ者です。 ドメイン参加後、ローカルPCのAdministratorsにDomain Adminsが登録されて いないことが判明しました。使用者はDomain Usersとなっています。 AdministratorsにDomain Adminsを参加させる方法はありませんか? そのローカルPCは、遠地のため直接操作する機会がなく困っています。 コンピュータのログインスクリプトでAdministratorsに参加させるwsfを実行していますが 権限不足なのか、反映しません。 mmcでリモートPCにアクセスしてローカルグループの追加をしましたが 「アクセスが拒否されました」で追加できませんでした。 TSは、TSGatway? はじめて聞きましたググってキマス。 ありがとうございました。 >>452 mmcはダメだよな、失礼 mstscでリモート接続できればローカルアドミンで入れるだろうけど 接続先のリモートデスクトップ、Pc-anywhereのFWがOFFなので 途方に暮れていました。TSは試していませんが一度、試してみます。 2000で既存のドメインコントローラ追加時に レプリケーション相手の指定はどのようにすれば よろしいのでしょうか。 後からレプリケーションの方法もあるのでしょうか。 教えてください。 >>455 通常は自動設定済み 色々いじりたいなら「Active Directory サイトとサービス」 >>456 ありがとうございます。 通常時のレプリケーションはサイトでわけるのは わかるんですが、dcpromoで既存のドメインに追加 インストールするときです・・・。 >>457 だから「Active Directory サイトとサービス」 だって dcpromo中は複製に関する設定は無い >>457 DNS使ってDC探すなどしてるので、DNSの指定ができてれば、 順調に進んでレプリケーションもはじまるかと。 すいません、教えてください。 同一LAN・同一DC で利用中、ユーザーの席替えがありました。 席替え後に移動前と同一のIDでログインした時に、移動ユーザープロファイルが反映されなくなってしまいました。 (デスクトップの内容など) 原因としてはなにが考えられるでしょうか。 ご教授お願いいたします。 Windows Server 2008のActive Directoryで、 ユーザアカウントとグループアカウントをスクリプトで 作ることになったんだけど、属性名がさっぱりわからん。 "l"が市区町村だとかなんて情報はどっから得るの? MSDNやリソースキット見たんだけどわからん。 OSが不正にコピー&インストールされプロダクトIDが被ってるクライアントが居る状態で ドメインを構成するとどうなりますか? 多分、公式サポートに聞いても教えてくれないでしょう。 スタートアップスクリプトってUNCパスサポートしてないことに今気づいた んだけど、、、他に逃げ道ある? 各クライアントの端末情報を集めたくて、ipconfigとかの標準出力を 共有サーバに出力したいんだけど。 ちなみにログオンスクリプトはドメインログオンしてない人が多いので、 使えません>< >>466 スタートアップスクリプトでは Windows 共有は素だと無理 タスクスケジューラの起動時を使うといける もしくは、スタートアップスクリプト内で net use 接続 ただパスワードをベタに書くからお勧めはしない >>464 どうなるかはわかるけど教えない。常識だし。 Windows Server 2008 Active Directory スキーマで "user"クラスの"cn"属性は、"mailRecipient", "posixAccount", "person", "top" 4クラスから継承しているようなのですが、"user"クラスの"cn"属性に値を設定するとき、 どのソースクラスの属性であるか意識する必要はあるのでしょうか? また、ソースクラスによって同じ属性でも必須だったりオプションだったりするのですが、 結局、継承先の属性は必須になるのかオプションになるのかわかりません。 ご存知の方がいましたら、教えてください。 AdobeFlashPlayerをサイレンとインストールするようにしたけど、 Flash使ってるHP見るとユーザの権限不足(PowerUser)の為に設定で こけてしまっている。 結局Admin権限ないとインストール出来ないだったら意味ないし、 何かいい解決法ないか教えてエロイ人。 >>464 ってVista以外なら実は問題無さそうだけどな。 社内システムでなにやら、「Active Directory」というものを使おうとしてます。 そこでActive Directoryはどのようなことができるのでしょうか? システムに制限が掛けられる??? ただのクライアントの私には関係ないのでしょうか? お分かりの方よろしくお願いします。 タダのクライアントなら管理者のなすがままなので流れに身を任せてください。 >>473 ドメインユーザに一律でポリシーを当てられる。 それくらい。 ワークグループでの管理とActive Directoryでの管理でセキュリティ的に違いはありますか? 管理者がクライアントの管理が楽になるかならないかの違いですか? よろしくお願いします。 ※ただしドメインコントローラが正しい時刻を知っている場合に限る 2008からのNAPは、それなりに使えるんじゃね? それまでは、サードパーティ製に頼ってたことが、2008だけである程度実現できるようになったわけで。 クライアントがXPSP3以降に限定されてしまうけど。 誰がどのPCを使っているか書かれたリストをなくしてしまい困っています。 ドメイン参加の250台ちかくPCがあるんですが、最後にログオンした人をそれぞれのコンピュータ名で知る方法はありますか? または、アカウントがどのPCにログオンしたのかでも分かればいいです。 ドメイン参加してるんならリモートからレジストリ開いて Winlogon の下の DefaultUserName でも 暇な時にえっちらおっちら調べれば良いんじゃないの。バッチにするなりなんなりすれば流すだけだし。 全台数上がっているならリモートから覗くでも良いだろうけど、 ログオンスクリプトで echo %COMPUTERNAME%,%USERNAME%>\\server\share\%COMPUTERNAME%.txt の方が楽 もっと色々やりたいならWSHでCIMV2たたくとか Windows Server 2008 ロックアウトを解除するプログラムを作成したい。 しかし、Active Directory が、どこの属性の値を判断して ロックアウト状態であると認識しているかわかりません。 UserAccountControlのフラグの説明を見たら、 ms-DS-User-Account-Control-Computedに置き換わりましたと 記載されていたのですが、簡易プログラムを作成して属性の値を見たのですが、 ロックアウト状態でも値が0のままでした。 それともう一つ、ADSIエディタでms-DS-User-Account-Control-Computedの 属性が表示されないのですが、仕様ですか? >>483 ttp://msdn.microsoft.com/en-us/library/ms676843(VS.85).aspx ttp://en.csharp-online.net/User_Management_with_Active_Directory%E2%80%94Determining_Account_Lockout ttp://forums.techarena.in/active-directory/646125.htm ttp://dunnry.com/blog/CategoryView,category,Lockout.aspx 何を以てロックアウトであると判断するのか、であればlockoutTimeを見るのが良いのかね。 手元の2000 AD環境でロックアウトさせてみたアカウントのlockoutTimeに0を突っ込んだら(デフォルトはnot set)、解除されたよ。 ms-DS-User-Account-Control-Computed の方は2008の環境がないのでわからんね。 WEB認証をLDAP認証にしたいけど ADは入れられなかったので ADAMで作成しているんだけど。 作成したユーザのパスワード変更を WEB経由できなくてはまっています。 成功例があれば教えてもらえないでしょうか? phpldapadminだとuserPasswordが 表示されないのは型が違うからだと思うので やっぱり、ADSIを.netとかWSHでゴニョゴニョなのかな… ホームフォルダとは、何に利用するために設定するのでしょうか? リソースキット等の書籍を参照しても、説明が載っていません。 そもそもホームフォルダとは何ですか? ログオン時のカレントディレクトリがその場所を指しているぐらいしか分かっていません。 DCとなるPCに複数のIPアドレスを割り当てたまま、 一つのドメインを構築するとどうなりますか? >>487 ユーザ毎の作業机みたいなの? >>488 別に。 ドメインは、そういうネットワークセグメントの制限を超えて管理することができることも特長の一つだから。 >>487 > ホームフォルダとは、何に利用するために設定するのでしょうか? セキュリティーの強化の為にあると思ってくれたらいい ローカルにフォルダ置くと情報漏洩の恐れがある(PCの盗難など) そこでサーバーに置くように指示すればリスク減るわけ 特定のアプリを実行するバッチファイルを作成して グループポリシーのログオンスクリプトに設定して 正しく動作する事を確認しました。 ただ、同じバッチファイルをログオフスクリプトに 設定してもまったく反応しません。 バッチファイルで実行するアプリがネットワーク先(\\サーバー名\〜)で ある事が原因のような気がしますが、解決方法が分かりません。 理想を言えば、シャットダウンスクリプトで実行したと思っています。 何かアドバイスをお願いします >>494 バッチファイルは以下のみです。 START \\ServerName\hogeFolder\AppName.exe >>495 start /wait 〜 ではどう? あと、シャットダウンスクリプトだとネットワーク共有のアクセス権に注意 >>496 ありがとう御座います。 教えていただいた方法で試しましたが、どうにも正しく完了まで待たないようなので VBScriptを作成してプロセスが消えるまで待つと言う方法で対処する事にしました。 (実行するアプリが完了していないのに、完了したと報告してしまうのかも知れません。) 以下、ネット巡回で見付けた方法 > Set objWMI = GetObject("winmgmts:") > Do > Set objProc = objWMI.ExecQuery("select * from Win32_Process where Name='hogehoge.exe'") > WScript.Sleep 1000 > Loop While objProc.Count > 0 今度ADの設計をやることになったんですけど、 顧客要件のヒアリングのコツってありませんかね? 研修を除き、今までほぼノータッチできたもので…orz >>502 古館のフォイテク!フォイテク!を思い出したオレって・・・・・・ すみません、AD関連に詳しい方、ご教示をお願いできませんでしょうか。。m(__)m ドメインユーザーがクライアントにログオンした時の、壁紙を固定化させたいというときに、 「グループポリシー」の「ユーザーの構成」から設定することは可能ですよね? ドメイン配下にA及びBというクライアントがある場合、 それぞれにドメインユーザーがログオンすると、同じ壁紙が設定されることと思います。 これを、Aにログオンしたときの壁紙とBにログオンしたときの壁紙を 分けて設定することはできないのでしょうか? 「コンピュータの構成」からできるような気がしたんですが、それらしきポリシーがありませんorz 何とかこの問題を解決できないものでしょうか? >>504 ユーザーAとBをAD上で別のセキュリティグループにする グループポリシーでAが所属するグループには壁紙AをBが所属するグループには壁紙Bを ってのはだめ? >>505 ドメイングループポリシーからは出来ません ユーザログオン後の壁紙設定はドメインユーザ固有の設定なので、 コンピュータ毎に別々の壁紙で固定としたいなら、 ・ドメインユーザのグループポリシー設定を外す ・各々のコンピュータのローカルユーザポリシーで壁紙を設定する ・各々のコンピュータのgpedit.mscで コンピュータの構成 - 管理用テンプレート - システム - グループポリシー - ユーザーグループポリシーループバック を有効とする といったことが必要 >>506 >>507 レスどうもありがとうございますm(_ _)m 調べていたら、レジストリ変更でにてコンピュータ毎に、 壁紙の固定化を強制できそうですので、こちらでやってみることにします。 http://www.windows-world.jp/tips/-/10661.html >>508 そのやり方はHKEY_CURRENT_USERの修正なので、一旦そのユーザで ログオンしてからそのユーザで修正する必要があります つまり、ログオンした先で画面の設定から壁紙を選ぶのと同じ それで良ければどうぞ >>509 レスありがとうございます。 実際やってみましたけど、その通りでした。 正攻法は>>506 さんのやり方ですね >>507 さんのはちょっと複雑(;^_^A 残念ながら、ユーザーの所属グループを変更するのは難しいので ユーザー作業で、初回ログオン時に壁紙変更をしてもらうことにします(アナログですが。。) ぼーっと読んでると途轍もなくややこしいな。グループポリシー BDC導入はやっぱり必須なんでしょうか。 導入することに伴う煩雑化は発生しますか? >>512 ADの場合BDCじゃないけどね 重要なドメインだったらDCは最低二台 運用は一台と大して変わらないけど、操作マスタの移動とかは知っておいたほうが良い >>513 ありがとう。 ちっちゃな会社なので、1DCでの構築+グループポリシーのみしか やったことがなかったので、ちょっと調べてみます。 >>514 一台だけだと壊れたときに目も当てられないからね 操作マスタの操作はntdsutilでどうぞ 2台とか怖すぎる、2+別室にもう一台の3以上でお願いします;; 移動プロファイルを設定したのに壁紙などが引き継がれない どうしてなんだろ… WindowsServer2008を使用しています。 デフォルトでは、管理者でない、普通のドメインユーザーでも、 10台までならPCのアカウントをAD上に作成出来ますよね。 でもこれでは、一般社員が持ち込んだ私物PCが、管理者の知らぬ間に ADに作成されてしまいます。 「コンピュータアカウントの作成権限」を、普通のユーザーから取り上げる、 または、一部のユーザーにのみ許可する、という設定は どこから行えばよいでしょうか? つ ms-DS-MachineAccountQuota WORKGROUP環境からADへ移行した時に、クライアントのユーザーデータを moveuserでADアカウントへ移行した。その時に起きた事と、どう対処したかの 私用メモ。当分dat落ちしそうにないし、いいよねw 長くてごめん。 クライアント:Windows XP SP2〜3 10拠点100台くらい ドメインコントローラー:Windows Server 2008 Standard ローカルユーザーアカウントtestを作成し、Administratorsグループに 所属させ、パスワードを付与し、testアカウントにログオンして作業。 ↑ 最初はAdministratorで作業しようとしたが、最初の端末がAdministratorで 運用されてたので、作業用に別アカウントを作成する事にした。 結局、Administratorで運用されてたのは3台あった。 moveuserコマンド実行時 ・Error 5(2かも。作業メモが汚くてよくわからん状態) 移行元アカウントのデータがあるフォルダに対し、Administrators グループのアクセス権がなかった(user01というアカウントだとすると、 C:\Document and Settings\user01フォルダのアクセス許可エントリの 内容が、user01にフルコントロールの1行だけ、所有権もuser01だった) ので、アクセス許可エントリの内容にAdministratorsとSYSTEMそれぞれ フルコントロールで追加、所有権をAdministratorsに変更した。 ↑ なんかうまく行くようになっただけで、正しいかは不明。 ・Error 1317 既にmoveuserの処理を行っていた。疲れていたので休憩した。 よく見たら Windows XP Home Edition だったので、 Professionalに入れ替えた。 ・Error 1332 アカウント名のスペルが間違っていたので、スペル間違いを修正した。 moveuser実行後、ADアカウントでログインした時 ・壁紙が表示されない、デスクトップのアイコンがない アクセスが拒否された旨のメッセージが表示されたため、 前述のError 5(2かも)の時と同じ対処をした。 但し、1台だけどうにもならないのがあった。サブフォルダ以降に アクセス許可エントリの修正が反映されず、数百ファイルを手動で 修正したが根が尽きた。古いPCで運用5年目であったため、掃除も 兼ねリカバリをかけ、復旧。 ・Office2000、Acrobat Readerのデータファイルのアイコンが、 関連付けなし状態になった ・いくつかのアプリケーションアイコンが地味なものに統一された アイコンファイルの在処を調べると、%systemroot%Installer フォルダにあるはずという事がわかったが、この現象が発生 している場合、そのフォルダの中身がカラだった。 当該アプリケーションの再インストールを試みたが、削除も できなかった。 現象が発生していない他のPCでも参照先のフォルダは同じか 似通ったものであったため、Office2000についてはフォルダを コピー、Acrobat ReaderについてはWindows Install Clean Up でインストール情報を削除後、再インストールした。 こんなもんか。トータルでは楽できたから良かった。 最後のInstallerフォルダの中身消失はどうすれば防げるのか・・・ 一時的にリードオンリーにでもすればいいのかな? read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる