Windows★Active Directoryスレ
なかったので立てました。 管理者のみなさん、一緒にお話しませんこと? スタートアップスクリプトってUNCパスサポートしてないことに今気づいた んだけど、、、他に逃げ道ある? 各クライアントの端末情報を集めたくて、ipconfigとかの標準出力を 共有サーバに出力したいんだけど。 ちなみにログオンスクリプトはドメインログオンしてない人が多いので、 使えません>< >>466 スタートアップスクリプトでは Windows 共有は素だと無理 タスクスケジューラの起動時を使うといける もしくは、スタートアップスクリプト内で net use 接続 ただパスワードをベタに書くからお勧めはしない >>464 どうなるかはわかるけど教えない。常識だし。 Windows Server 2008 Active Directory スキーマで "user"クラスの"cn"属性は、"mailRecipient", "posixAccount", "person", "top" 4クラスから継承しているようなのですが、"user"クラスの"cn"属性に値を設定するとき、 どのソースクラスの属性であるか意識する必要はあるのでしょうか? また、ソースクラスによって同じ属性でも必須だったりオプションだったりするのですが、 結局、継承先の属性は必須になるのかオプションになるのかわかりません。 ご存知の方がいましたら、教えてください。 AdobeFlashPlayerをサイレンとインストールするようにしたけど、 Flash使ってるHP見るとユーザの権限不足(PowerUser)の為に設定で こけてしまっている。 結局Admin権限ないとインストール出来ないだったら意味ないし、 何かいい解決法ないか教えてエロイ人。 >>464 ってVista以外なら実は問題無さそうだけどな。 社内システムでなにやら、「Active Directory」というものを使おうとしてます。 そこでActive Directoryはどのようなことができるのでしょうか? システムに制限が掛けられる??? ただのクライアントの私には関係ないのでしょうか? お分かりの方よろしくお願いします。 タダのクライアントなら管理者のなすがままなので流れに身を任せてください。 >>473 ドメインユーザに一律でポリシーを当てられる。 それくらい。 ワークグループでの管理とActive Directoryでの管理でセキュリティ的に違いはありますか? 管理者がクライアントの管理が楽になるかならないかの違いですか? よろしくお願いします。 ※ただしドメインコントローラが正しい時刻を知っている場合に限る 2008からのNAPは、それなりに使えるんじゃね? それまでは、サードパーティ製に頼ってたことが、2008だけである程度実現できるようになったわけで。 クライアントがXPSP3以降に限定されてしまうけど。 誰がどのPCを使っているか書かれたリストをなくしてしまい困っています。 ドメイン参加の250台ちかくPCがあるんですが、最後にログオンした人をそれぞれのコンピュータ名で知る方法はありますか? または、アカウントがどのPCにログオンしたのかでも分かればいいです。 ドメイン参加してるんならリモートからレジストリ開いて Winlogon の下の DefaultUserName でも 暇な時にえっちらおっちら調べれば良いんじゃないの。バッチにするなりなんなりすれば流すだけだし。 全台数上がっているならリモートから覗くでも良いだろうけど、 ログオンスクリプトで echo %COMPUTERNAME%,%USERNAME%>\\server\share\%COMPUTERNAME%.txt の方が楽 もっと色々やりたいならWSHでCIMV2たたくとか Windows Server 2008 ロックアウトを解除するプログラムを作成したい。 しかし、Active Directory が、どこの属性の値を判断して ロックアウト状態であると認識しているかわかりません。 UserAccountControlのフラグの説明を見たら、 ms-DS-User-Account-Control-Computedに置き換わりましたと 記載されていたのですが、簡易プログラムを作成して属性の値を見たのですが、 ロックアウト状態でも値が0のままでした。 それともう一つ、ADSIエディタでms-DS-User-Account-Control-Computedの 属性が表示されないのですが、仕様ですか? >>483 ttp://msdn.microsoft.com/en-us/library/ms676843(VS.85).aspx ttp://en.csharp-online.net/User_Management_with_Active_Directory%E2%80%94Determining_Account_Lockout ttp://forums.techarena.in/active-directory/646125.htm ttp://dunnry.com/blog/CategoryView,category,Lockout.aspx 何を以てロックアウトであると判断するのか、であればlockoutTimeを見るのが良いのかね。 手元の2000 AD環境でロックアウトさせてみたアカウントのlockoutTimeに0を突っ込んだら(デフォルトはnot set)、解除されたよ。 ms-DS-User-Account-Control-Computed の方は2008の環境がないのでわからんね。 WEB認証をLDAP認証にしたいけど ADは入れられなかったので ADAMで作成しているんだけど。 作成したユーザのパスワード変更を WEB経由できなくてはまっています。 成功例があれば教えてもらえないでしょうか? phpldapadminだとuserPasswordが 表示されないのは型が違うからだと思うので やっぱり、ADSIを.netとかWSHでゴニョゴニョなのかな… ホームフォルダとは、何に利用するために設定するのでしょうか? リソースキット等の書籍を参照しても、説明が載っていません。 そもそもホームフォルダとは何ですか? ログオン時のカレントディレクトリがその場所を指しているぐらいしか分かっていません。 DCとなるPCに複数のIPアドレスを割り当てたまま、 一つのドメインを構築するとどうなりますか? >>487 ユーザ毎の作業机みたいなの? >>488 別に。 ドメインは、そういうネットワークセグメントの制限を超えて管理することができることも特長の一つだから。 >>487 > ホームフォルダとは、何に利用するために設定するのでしょうか? セキュリティーの強化の為にあると思ってくれたらいい ローカルにフォルダ置くと情報漏洩の恐れがある(PCの盗難など) そこでサーバーに置くように指示すればリスク減るわけ 特定のアプリを実行するバッチファイルを作成して グループポリシーのログオンスクリプトに設定して 正しく動作する事を確認しました。 ただ、同じバッチファイルをログオフスクリプトに 設定してもまったく反応しません。 バッチファイルで実行するアプリがネットワーク先(\\サーバー名\〜)で ある事が原因のような気がしますが、解決方法が分かりません。 理想を言えば、シャットダウンスクリプトで実行したと思っています。 何かアドバイスをお願いします >>494 バッチファイルは以下のみです。 START \\ServerName\hogeFolder\AppName.exe >>495 start /wait 〜 ではどう? あと、シャットダウンスクリプトだとネットワーク共有のアクセス権に注意 >>496 ありがとう御座います。 教えていただいた方法で試しましたが、どうにも正しく完了まで待たないようなので VBScriptを作成してプロセスが消えるまで待つと言う方法で対処する事にしました。 (実行するアプリが完了していないのに、完了したと報告してしまうのかも知れません。) 以下、ネット巡回で見付けた方法 > Set objWMI = GetObject("winmgmts:") > Do > Set objProc = objWMI.ExecQuery("select * from Win32_Process where Name='hogehoge.exe'") > WScript.Sleep 1000 > Loop While objProc.Count > 0 今度ADの設計をやることになったんですけど、 顧客要件のヒアリングのコツってありませんかね? 研修を除き、今までほぼノータッチできたもので…orz >>502 古館のフォイテク!フォイテク!を思い出したオレって・・・・・・ すみません、AD関連に詳しい方、ご教示をお願いできませんでしょうか。。m(__)m ドメインユーザーがクライアントにログオンした時の、壁紙を固定化させたいというときに、 「グループポリシー」の「ユーザーの構成」から設定することは可能ですよね? ドメイン配下にA及びBというクライアントがある場合、 それぞれにドメインユーザーがログオンすると、同じ壁紙が設定されることと思います。 これを、Aにログオンしたときの壁紙とBにログオンしたときの壁紙を 分けて設定することはできないのでしょうか? 「コンピュータの構成」からできるような気がしたんですが、それらしきポリシーがありませんorz 何とかこの問題を解決できないものでしょうか? >>504 ユーザーAとBをAD上で別のセキュリティグループにする グループポリシーでAが所属するグループには壁紙AをBが所属するグループには壁紙Bを ってのはだめ? >>505 ドメイングループポリシーからは出来ません ユーザログオン後の壁紙設定はドメインユーザ固有の設定なので、 コンピュータ毎に別々の壁紙で固定としたいなら、 ・ドメインユーザのグループポリシー設定を外す ・各々のコンピュータのローカルユーザポリシーで壁紙を設定する ・各々のコンピュータのgpedit.mscで コンピュータの構成 - 管理用テンプレート - システム - グループポリシー - ユーザーグループポリシーループバック を有効とする といったことが必要 >>506 >>507 レスどうもありがとうございますm(_ _)m 調べていたら、レジストリ変更でにてコンピュータ毎に、 壁紙の固定化を強制できそうですので、こちらでやってみることにします。 http://www.windows-world.jp/tips/-/10661.html >>508 そのやり方はHKEY_CURRENT_USERの修正なので、一旦そのユーザで ログオンしてからそのユーザで修正する必要があります つまり、ログオンした先で画面の設定から壁紙を選ぶのと同じ それで良ければどうぞ >>509 レスありがとうございます。 実際やってみましたけど、その通りでした。 正攻法は>>506 さんのやり方ですね >>507 さんのはちょっと複雑(;^_^A 残念ながら、ユーザーの所属グループを変更するのは難しいので ユーザー作業で、初回ログオン時に壁紙変更をしてもらうことにします(アナログですが。。) ぼーっと読んでると途轍もなくややこしいな。グループポリシー BDC導入はやっぱり必須なんでしょうか。 導入することに伴う煩雑化は発生しますか? >>512 ADの場合BDCじゃないけどね 重要なドメインだったらDCは最低二台 運用は一台と大して変わらないけど、操作マスタの移動とかは知っておいたほうが良い >>513 ありがとう。 ちっちゃな会社なので、1DCでの構築+グループポリシーのみしか やったことがなかったので、ちょっと調べてみます。 >>514 一台だけだと壊れたときに目も当てられないからね 操作マスタの操作はntdsutilでどうぞ 2台とか怖すぎる、2+別室にもう一台の3以上でお願いします;; 移動プロファイルを設定したのに壁紙などが引き継がれない どうしてなんだろ… WindowsServer2008を使用しています。 デフォルトでは、管理者でない、普通のドメインユーザーでも、 10台までならPCのアカウントをAD上に作成出来ますよね。 でもこれでは、一般社員が持ち込んだ私物PCが、管理者の知らぬ間に ADに作成されてしまいます。 「コンピュータアカウントの作成権限」を、普通のユーザーから取り上げる、 または、一部のユーザーにのみ許可する、という設定は どこから行えばよいでしょうか? つ ms-DS-MachineAccountQuota WORKGROUP環境からADへ移行した時に、クライアントのユーザーデータを moveuserでADアカウントへ移行した。その時に起きた事と、どう対処したかの 私用メモ。当分dat落ちしそうにないし、いいよねw 長くてごめん。 クライアント:Windows XP SP2〜3 10拠点100台くらい ドメインコントローラー:Windows Server 2008 Standard ローカルユーザーアカウントtestを作成し、Administratorsグループに 所属させ、パスワードを付与し、testアカウントにログオンして作業。 ↑ 最初はAdministratorで作業しようとしたが、最初の端末がAdministratorで 運用されてたので、作業用に別アカウントを作成する事にした。 結局、Administratorで運用されてたのは3台あった。 moveuserコマンド実行時 ・Error 5(2かも。作業メモが汚くてよくわからん状態) 移行元アカウントのデータがあるフォルダに対し、Administrators グループのアクセス権がなかった(user01というアカウントだとすると、 C:\Document and Settings\user01フォルダのアクセス許可エントリの 内容が、user01にフルコントロールの1行だけ、所有権もuser01だった) ので、アクセス許可エントリの内容にAdministratorsとSYSTEMそれぞれ フルコントロールで追加、所有権をAdministratorsに変更した。 ↑ なんかうまく行くようになっただけで、正しいかは不明。 ・Error 1317 既にmoveuserの処理を行っていた。疲れていたので休憩した。 よく見たら Windows XP Home Edition だったので、 Professionalに入れ替えた。 ・Error 1332 アカウント名のスペルが間違っていたので、スペル間違いを修正した。 moveuser実行後、ADアカウントでログインした時 ・壁紙が表示されない、デスクトップのアイコンがない アクセスが拒否された旨のメッセージが表示されたため、 前述のError 5(2かも)の時と同じ対処をした。 但し、1台だけどうにもならないのがあった。サブフォルダ以降に アクセス許可エントリの修正が反映されず、数百ファイルを手動で 修正したが根が尽きた。古いPCで運用5年目であったため、掃除も 兼ねリカバリをかけ、復旧。 ・Office2000、Acrobat Readerのデータファイルのアイコンが、 関連付けなし状態になった ・いくつかのアプリケーションアイコンが地味なものに統一された アイコンファイルの在処を調べると、%systemroot%Installer フォルダにあるはずという事がわかったが、この現象が発生 している場合、そのフォルダの中身がカラだった。 当該アプリケーションの再インストールを試みたが、削除も できなかった。 現象が発生していない他のPCでも参照先のフォルダは同じか 似通ったものであったため、Office2000についてはフォルダを コピー、Acrobat ReaderについてはWindows Install Clean Up でインストール情報を削除後、再インストールした。 こんなもんか。トータルでは楽できたから良かった。 最後のInstallerフォルダの中身消失はどうすれば防げるのか・・・ 一時的にリードオンリーにでもすればいいのかな? Windows 2003 Serverでサーバが物理的に故障した際に、 別のサーバーのWindows 2003 ServerにバックアップからADを復元し 修理期間の間の代替え機として使う事は可能でしょうか? >>530 事前にバックアップを検討しておけよ ってかサーバー機が1台しかないのか? レスありがとうございます。 >>531 サーバー機は1台です。 >>532 可能なようで安心しました。 2台で運用してくれると助かるのですがね… 同じHW構成のサーバであれば、 ADの復元も難しくないのかも だけど、違うHW構成のとこに 戻す必要があるなら、安心せず、 手順を確認した方がよいかも。 常識的に考えてサーバーは二台以上立てないと そんなに冗長性を無視したいのか? バックアップがないならむしろADなんか使わない方がいい 中小相手の仕事してると、1台で運用しているところなんてたくさんあるよ 顧客がメリデリ踏まえたうえで1台構成でいいと言ってきたら、強引に2台目を構築するわけにもいかないしね >>537 代替機が準備できるんなら最初から二重化しておけってことだろ 痛い目に遭うのは自分たち(中小企業)なのにね・・・ >>538 馬鹿だな。代替機を中小企業が用意する訳無いじゃないか。 売ったとこが用意してやるんだよ。 >>541 それじゃ客もSIerも馬鹿だね WGの方が安全だな ActiveDirectory(windows2003)を利用してます。 新たにプリンタを追加しまして、現在はそれに直接IPを割り当てて ネットワークプリンタとして利用し、クライアントには個別でドライバを インストールしてます。 これをクライアントログイン時に自動的に共有プリンタとして 割り当てたいのですが、どうやれば宜しいでしょうか? 尚、プリンタサーバを利用しないことが前提です。 wshNetwork.AddWindowsPrinterConnectionだと \\Server\Printerとかやらなければならないと思いますが、 今回はプリンタサーバを利用したくないので やり方があればお教えください。 ログオンスクリプトでプリンタ追加のサイレントインストールスクリプトでも流したら? プリントサーバ使ったほうが楽だと思うけどね プリンタをStandard TCP/IP Portでインストールしちゃだめか・・・ すみません、ちょっと質問です。 プライマリのドメコン:2008 Standard、機能レベル2008 セカンダリのドメコン:2008 Standard、機能レベル2008 DNSサーバ:ドメコン以外のサーバ という環境なのですが、セカンダリのサーバをメンテナンスのためシャットダウンするとします。 その際に、何か気をつけておく必要がありますか? 普通にシャットダウンするだけで、メンテナンス後、電源投入でプライマリからレプリケートされ 問題なくセカンダリのDCとして使えますか? 初歩的な質問ですみません。どなたが教えて下されば助かります。 別にどっちをシャットダウンしようが問題ないから安心しろ。片系停止中の複製エラーだけ無視すればよい。 助けてー。 セキュリティーグループをADに新規に追加して、 該当のユーザーの所属グループに追加しました。 そのセキュリティーグループを共有フォルダのアクセス許可にフルコントロールで追加 したのですが、実際にアクセスしようとするとアクセス権がありませんと 拒否られてしまいます。 このセキュリティーグループ以外はありません。 (Evetyoneを追加すれば当然見れます) 念のため、セキュリティにも同じのをフルコントロールで追加しても同じです。 何か基本的な事忘れてますか? ■新規作成したセキュリティーグループ ・グループスコープ … グローバル ・グループの種類 ・・・ セキュリティ ・メンバには追加したユーザーが表示されています。 >>549 ありがとう御座います。 NTFSのACL って、フォルダのセキュリティ→詳細設定の画面の事ですよね? それであれば、フルコントロールになっています。 ファイルサーバ?だとすると、 「共有」のタブの方でのアクセス権 の設定とか? グループにユーザー追加してからログオンし直してないとか? a.example.comとb.example.comというDNSドメインがある時に、 DCをa.example.comだけで運用するって可能? それとも、DNSドメインごとにDCが必要になる? このカテゴリーに入るのか分かりませんが、フォルダのアクセス権を 人ではなく、アプリだけにする事って可能ですか? やりたい事としては、Excelファイルを保存してある共有フォルダがあるのですが、 そこへのアクセス(参照や更新)は、ソフトウェアを利用したアクセスだけにしたいのです。 >>553 >a.example.comとb.example.comというDNSドメインがある時に、 >DCをa.example.comだけで運用するって可能? >それとも、DNSドメインごとにDCが必要になる? 何をやりたいの? example.comは、正規のドメイン?おれおれドメイン? a.example.com、b.example.comは既にあって、 BIND使ってるとか? もし。会社のドメインがexample.comで、そこに a部門、b部門があるなら、ADドメインは、 a-ad.a.example.com b-ad.b.example.com のような感じで普通のドメインの下に AD専用ドメインを設定したいかな。 >DCをa.example.comだけで運用するって可能? この場合、b.example.comのパソコン、サーバも a-ad.a.example.comのドメインに参加すれば、 b.example.comドメイン配下のホスト名でも a-ad.a.example.comドメイン配下のホスト名でも アクセスできるようにはなる。 >>554 今ひとつ意味がわからんけど、ようするにExplorerでフォルダの内容を表示したくないって事か? >>557 よくわからんけど ソフトウェアを利用したアクセスって、Excelを起動して「開く」→共有フォルダのファイル ってこと? んでソフトウェアを利用しないアクセスって直接、共有フォルダのファイルをダブルクリックするってこと? アクセス権のアプリにするのはさすがに無理 アプリを使うのも人だし >>558 そうです。 >>559 例えば、Excel VBAとかで 他のブックを操作する事が出来ますが、 そのVBA経由の操作は許すが、他のブックを直接開いて編集するような事を制限したい。 例: 共有フォルダ ・・・ A.xls (直接ユーザーに編集して欲しくない) ローカルPC ・・・ B.xls (VBAを利用しA.xlsのセル情報を更新する) こんな感じなんですが、無理でしょうか・・・。 更に言うと、ある特定の人だけ、A.xlsのファイルを直接編集できるようにしたい。 B.xlsにパスワードかけて、A.xlsのマクロで触りにいけばいいんじゃない? A.xlsのNTFSアクセス権で、使うユーザのみに権限与えれば特定ユーザのみ開けるようになるんじゃないかい まぁ、これは例題に対しての対処療法なので、他のアプリが同じようにできるとは限らないだろうね アプリ限定で、アクセス制御できるなんてきいたことないわ 初歩的な質問で申し訳ないのですが、 セキュリティグループで、ドメインローカルグループやグローバルグループをネストする、っていう解説があるんですが ネストというのはこの場合どういった意味合いを指しているのでしょうか? プログラミングだと入れ子といった意味のようですが、 ユニバーサルグループだと フォレスト内のユーザー、グローバルグループ、ユニバーサルグループをネストするとってのは 上記3つのユーザやグループを一括りのものとして設定(もしくは定義)する、という考え方でいいのでしょうか? こんな質問をここでしたらいいのかわかりませんが、ネスト自体を当たり前のように書いているHPしか見つからないので どなたか教えていただければ幸いです……。 read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる