Windows★Active Directoryスレ
なかったので立てました。
管理者のみなさん、一緒にお話しませんこと? >>495
start /wait 〜
ではどう?
あと、シャットダウンスクリプトだとネットワーク共有のアクセス権に注意 >>496
ありがとう御座います。
教えていただいた方法で試しましたが、どうにも正しく完了まで待たないようなので
VBScriptを作成してプロセスが消えるまで待つと言う方法で対処する事にしました。
(実行するアプリが完了していないのに、完了したと報告してしまうのかも知れません。)
以下、ネット巡回で見付けた方法
> Set objWMI = GetObject("winmgmts:")
> Do
> Set objProc = objWMI.ExecQuery("select * from Win32_Process where Name='hogehoge.exe'")
> WScript.Sleep 1000
> Loop While objProc.Count > 0 今度ADの設計をやることになったんですけど、
顧客要件のヒアリングのコツってありませんかね?
研修を除き、今までほぼノータッチできたもので…orz >>502
古館のフォイテク!フォイテク!を思い出したオレって・・・・・・ すみません、AD関連に詳しい方、ご教示をお願いできませんでしょうか。。m(__)m
ドメインユーザーがクライアントにログオンした時の、壁紙を固定化させたいというときに、
「グループポリシー」の「ユーザーの構成」から設定することは可能ですよね?
ドメイン配下にA及びBというクライアントがある場合、
それぞれにドメインユーザーがログオンすると、同じ壁紙が設定されることと思います。
これを、Aにログオンしたときの壁紙とBにログオンしたときの壁紙を
分けて設定することはできないのでしょうか?
「コンピュータの構成」からできるような気がしたんですが、それらしきポリシーがありませんorz
何とかこの問題を解決できないものでしょうか? >>504
ユーザーAとBをAD上で別のセキュリティグループにする
グループポリシーでAが所属するグループには壁紙AをBが所属するグループには壁紙Bを
ってのはだめ? >>505
ドメイングループポリシーからは出来ません
ユーザログオン後の壁紙設定はドメインユーザ固有の設定なので、
コンピュータ毎に別々の壁紙で固定としたいなら、
・ドメインユーザのグループポリシー設定を外す
・各々のコンピュータのローカルユーザポリシーで壁紙を設定する
・各々のコンピュータのgpedit.mscで
コンピュータの構成
- 管理用テンプレート
- システム
- グループポリシー
- ユーザーグループポリシーループバック
を有効とする
といったことが必要 >>506>>507
レスどうもありがとうございますm(_ _)m
調べていたら、レジストリ変更でにてコンピュータ毎に、
壁紙の固定化を強制できそうですので、こちらでやってみることにします。
http://www.windows-world.jp/tips/-/10661.html >>508
そのやり方はHKEY_CURRENT_USERの修正なので、一旦そのユーザで
ログオンしてからそのユーザで修正する必要があります
つまり、ログオンした先で画面の設定から壁紙を選ぶのと同じ
それで良ければどうぞ
>>509
レスありがとうございます。
実際やってみましたけど、その通りでした。
正攻法は>>506さんのやり方ですね
>>507さんのはちょっと複雑(;^_^A
残念ながら、ユーザーの所属グループを変更するのは難しいので
ユーザー作業で、初回ログオン時に壁紙変更をしてもらうことにします(アナログですが。。) ぼーっと読んでると途轍もなくややこしいな。グループポリシー BDC導入はやっぱり必須なんでしょうか。
導入することに伴う煩雑化は発生しますか? >>512
ADの場合BDCじゃないけどね
重要なドメインだったらDCは最低二台
運用は一台と大して変わらないけど、操作マスタの移動とかは知っておいたほうが良い >>513
ありがとう。
ちっちゃな会社なので、1DCでの構築+グループポリシーのみしか
やったことがなかったので、ちょっと調べてみます。 >>514
一台だけだと壊れたときに目も当てられないからね
操作マスタの操作はntdsutilでどうぞ 2台とか怖すぎる、2+別室にもう一台の3以上でお願いします;; 移動プロファイルを設定したのに壁紙などが引き継がれない
どうしてなんだろ… WindowsServer2008を使用しています。
デフォルトでは、管理者でない、普通のドメインユーザーでも、
10台までならPCのアカウントをAD上に作成出来ますよね。
でもこれでは、一般社員が持ち込んだ私物PCが、管理者の知らぬ間に
ADに作成されてしまいます。
「コンピュータアカウントの作成権限」を、普通のユーザーから取り上げる、
または、一部のユーザーにのみ許可する、という設定は
どこから行えばよいでしょうか? つ ms-DS-MachineAccountQuota WORKGROUP環境からADへ移行した時に、クライアントのユーザーデータを
moveuserでADアカウントへ移行した。その時に起きた事と、どう対処したかの
私用メモ。当分dat落ちしそうにないし、いいよねw 長くてごめん。
クライアント:Windows XP SP2〜3 10拠点100台くらい
ドメインコントローラー:Windows Server 2008 Standard
ローカルユーザーアカウントtestを作成し、Administratorsグループに
所属させ、パスワードを付与し、testアカウントにログオンして作業。
↑
最初はAdministratorで作業しようとしたが、最初の端末がAdministratorで
運用されてたので、作業用に別アカウントを作成する事にした。
結局、Administratorで運用されてたのは3台あった。
moveuserコマンド実行時
・Error 5(2かも。作業メモが汚くてよくわからん状態)
移行元アカウントのデータがあるフォルダに対し、Administrators
グループのアクセス権がなかった(user01というアカウントだとすると、
C:\Document and Settings\user01フォルダのアクセス許可エントリの
内容が、user01にフルコントロールの1行だけ、所有権もuser01だった)
ので、アクセス許可エントリの内容にAdministratorsとSYSTEMそれぞれ
フルコントロールで追加、所有権をAdministratorsに変更した。
↑
なんかうまく行くようになっただけで、正しいかは不明。
・Error 1317
既にmoveuserの処理を行っていた。疲れていたので休憩した。
よく見たら Windows XP Home Edition だったので、
Professionalに入れ替えた。
・Error 1332
アカウント名のスペルが間違っていたので、スペル間違いを修正した。 moveuser実行後、ADアカウントでログインした時
・壁紙が表示されない、デスクトップのアイコンがない
アクセスが拒否された旨のメッセージが表示されたため、
前述のError 5(2かも)の時と同じ対処をした。
但し、1台だけどうにもならないのがあった。サブフォルダ以降に
アクセス許可エントリの修正が反映されず、数百ファイルを手動で
修正したが根が尽きた。古いPCで運用5年目であったため、掃除も
兼ねリカバリをかけ、復旧。
・Office2000、Acrobat Readerのデータファイルのアイコンが、
関連付けなし状態になった
・いくつかのアプリケーションアイコンが地味なものに統一された
アイコンファイルの在処を調べると、%systemroot%Installer
フォルダにあるはずという事がわかったが、この現象が発生
している場合、そのフォルダの中身がカラだった。
当該アプリケーションの再インストールを試みたが、削除も
できなかった。
現象が発生していない他のPCでも参照先のフォルダは同じか
似通ったものであったため、Office2000についてはフォルダを
コピー、Acrobat ReaderについてはWindows Install Clean Up
でインストール情報を削除後、再インストールした。
こんなもんか。トータルでは楽できたから良かった。
最後のInstallerフォルダの中身消失はどうすれば防げるのか・・・
一時的にリードオンリーにでもすればいいのかな? Windows 2003 Serverでサーバが物理的に故障した際に、
別のサーバーのWindows 2003 ServerにバックアップからADを復元し
修理期間の間の代替え機として使う事は可能でしょうか? >>530
事前にバックアップを検討しておけよ
ってかサーバー機が1台しかないのか? レスありがとうございます。
>>531
サーバー機は1台です。
>>532
可能なようで安心しました。
2台で運用してくれると助かるのですがね… 同じHW構成のサーバであれば、
ADの復元も難しくないのかも
だけど、違うHW構成のとこに
戻す必要があるなら、安心せず、
手順を確認した方がよいかも。 常識的に考えてサーバーは二台以上立てないと
そんなに冗長性を無視したいのか?
バックアップがないならむしろADなんか使わない方がいい 中小相手の仕事してると、1台で運用しているところなんてたくさんあるよ
顧客がメリデリ踏まえたうえで1台構成でいいと言ってきたら、強引に2台目を構築するわけにもいかないしね
>>537
代替機が準備できるんなら最初から二重化しておけってことだろ 痛い目に遭うのは自分たち(中小企業)なのにね・・・ >>538
馬鹿だな。代替機を中小企業が用意する訳無いじゃないか。
売ったとこが用意してやるんだよ。 >>541
それじゃ客もSIerも馬鹿だね
WGの方が安全だな ActiveDirectory(windows2003)を利用してます。
新たにプリンタを追加しまして、現在はそれに直接IPを割り当てて
ネットワークプリンタとして利用し、クライアントには個別でドライバを
インストールしてます。
これをクライアントログイン時に自動的に共有プリンタとして
割り当てたいのですが、どうやれば宜しいでしょうか?
尚、プリンタサーバを利用しないことが前提です。
wshNetwork.AddWindowsPrinterConnectionだと
\\Server\Printerとかやらなければならないと思いますが、
今回はプリンタサーバを利用したくないので
やり方があればお教えください。
ログオンスクリプトでプリンタ追加のサイレントインストールスクリプトでも流したら?
プリントサーバ使ったほうが楽だと思うけどね プリンタをStandard TCP/IP Portでインストールしちゃだめか・・・ すみません、ちょっと質問です。
プライマリのドメコン:2008 Standard、機能レベル2008
セカンダリのドメコン:2008 Standard、機能レベル2008
DNSサーバ:ドメコン以外のサーバ
という環境なのですが、セカンダリのサーバをメンテナンスのためシャットダウンするとします。
その際に、何か気をつけておく必要がありますか?
普通にシャットダウンするだけで、メンテナンス後、電源投入でプライマリからレプリケートされ
問題なくセカンダリのDCとして使えますか?
初歩的な質問ですみません。どなたが教えて下されば助かります。 別にどっちをシャットダウンしようが問題ないから安心しろ。片系停止中の複製エラーだけ無視すればよい。 助けてー。
セキュリティーグループをADに新規に追加して、
該当のユーザーの所属グループに追加しました。
そのセキュリティーグループを共有フォルダのアクセス許可にフルコントロールで追加
したのですが、実際にアクセスしようとするとアクセス権がありませんと
拒否られてしまいます。
このセキュリティーグループ以外はありません。
(Evetyoneを追加すれば当然見れます)
念のため、セキュリティにも同じのをフルコントロールで追加しても同じです。
何か基本的な事忘れてますか?
■新規作成したセキュリティーグループ
・グループスコープ … グローバル
・グループの種類 ・・・ セキュリティ
・メンバには追加したユーザーが表示されています。 >>549
ありがとう御座います。
NTFSのACL って、フォルダのセキュリティ→詳細設定の画面の事ですよね?
それであれば、フルコントロールになっています。
ファイルサーバ?だとすると、
「共有」のタブの方でのアクセス権
の設定とか? グループにユーザー追加してからログオンし直してないとか? a.example.comとb.example.comというDNSドメインがある時に、
DCをa.example.comだけで運用するって可能?
それとも、DNSドメインごとにDCが必要になる? このカテゴリーに入るのか分かりませんが、フォルダのアクセス権を
人ではなく、アプリだけにする事って可能ですか?
やりたい事としては、Excelファイルを保存してある共有フォルダがあるのですが、
そこへのアクセス(参照や更新)は、ソフトウェアを利用したアクセスだけにしたいのです。 >>553
>a.example.comとb.example.comというDNSドメインがある時に、
>DCをa.example.comだけで運用するって可能?
>それとも、DNSドメインごとにDCが必要になる?
何をやりたいの?
example.comは、正規のドメイン?おれおれドメイン?
a.example.com、b.example.comは既にあって、
BIND使ってるとか?
もし。会社のドメインがexample.comで、そこに
a部門、b部門があるなら、ADドメインは、
a-ad.a.example.com
b-ad.b.example.com
のような感じで普通のドメインの下に
AD専用ドメインを設定したいかな。
>DCをa.example.comだけで運用するって可能?
この場合、b.example.comのパソコン、サーバも
a-ad.a.example.comのドメインに参加すれば、
b.example.comドメイン配下のホスト名でも
a-ad.a.example.comドメイン配下のホスト名でも
アクセスできるようにはなる。 >>554
今ひとつ意味がわからんけど、ようするにExplorerでフォルダの内容を表示したくないって事か? >>557
よくわからんけど
ソフトウェアを利用したアクセスって、Excelを起動して「開く」→共有フォルダのファイル ってこと?
んでソフトウェアを利用しないアクセスって直接、共有フォルダのファイルをダブルクリックするってこと?
アクセス権のアプリにするのはさすがに無理
アプリを使うのも人だし
>>558
そうです。
>>559
例えば、Excel VBAとかで 他のブックを操作する事が出来ますが、
そのVBA経由の操作は許すが、他のブックを直接開いて編集するような事を制限したい。
例:
共有フォルダ ・・・ A.xls (直接ユーザーに編集して欲しくない)
ローカルPC ・・・ B.xls (VBAを利用しA.xlsのセル情報を更新する)
こんな感じなんですが、無理でしょうか・・・。
更に言うと、ある特定の人だけ、A.xlsのファイルを直接編集できるようにしたい。 B.xlsにパスワードかけて、A.xlsのマクロで触りにいけばいいんじゃない?
A.xlsのNTFSアクセス権で、使うユーザのみに権限与えれば特定ユーザのみ開けるようになるんじゃないかい
まぁ、これは例題に対しての対処療法なので、他のアプリが同じようにできるとは限らないだろうね
アプリ限定で、アクセス制御できるなんてきいたことないわ
初歩的な質問で申し訳ないのですが、
セキュリティグループで、ドメインローカルグループやグローバルグループをネストする、っていう解説があるんですが
ネストというのはこの場合どういった意味合いを指しているのでしょうか?
プログラミングだと入れ子といった意味のようですが、
ユニバーサルグループだと
フォレスト内のユーザー、グローバルグループ、ユニバーサルグループをネストするとってのは
上記3つのユーザやグループを一括りのものとして設定(もしくは定義)する、という考え方でいいのでしょうか?
こんな質問をここでしたらいいのかわかりませんが、ネスト自体を当たり前のように書いているHPしか見つからないので
どなたか教えていただければ幸いです……。 GPOを使用したパソコンへのアクセス制限について教えてください。
以下の場合を想定しています。
1.特定(管理者)グループのみのドメインコントローラへのアクセス
2.クライアントPCに自分のアカウント以外でのアクセス拒否
3.信頼関係のあるドメインからのログインアクセス拒否
(PCがAドメインに属している場合、信頼関係のあるBドメインユーザーの拒否)
この時のログインに使用するアカウントはドメインアカウントを指します。
わかりやすく説明してあるサイトがありましたら教えてください。
また、このあたりが出題範囲になるようなMCPの資格本を勉強したいのですが
どれか分かりますでしょうか?(70-290とか) >>565
そこまで状況を限定した内容について書いている本など無い
まずGPO以前にグループポリシーのネストについて勉強して、
クライアントPCに対して限定的に制限を設定する方法を勉強する
その上で、GPOがどのような順位で優先的に適用されていくか
(AD上のドメイン<サイト<親OU<子OU<PC内ローカルルール)
をしっかりと理解し、どこにGPOをリンクさせるかを検討しなければならないが、
実際のところは実機なり仮想環境なりでシミュレートを行ってそれが正しく適用されるか
試してみるのが一番理解できる
本については、2003 Serverでは少なくとも赤本では無理
2003 Serverなら最低限R2対応の解説書(俺の知る限りSP2に対応した書籍は無い)か、
もしくは2008のAD関連の参考書を立ち読みでもして、
自分の求めている説明に近いことが解説されている本で勉強する以外無いと思われる
ASP.NETでUser.Identity.NameでログインユーザーIDとドメインは取得できますが
パスワードは取得できないでしょうか?
セキュリティがらみで無理だとは思うのですが、そこをなんとか取得
できないものでしょうか? エクスプローラでマイネットワークからサーバが表示されないPCがある
なんでかわからん
ファイアーウォール関係ある? Hyper-VゲストにDCおいて、Hyper-Vホストのドメイン参加ってできるのな。
しらねかったよ。ホストにHyper-Vのエラー出るけどしばらく様子見してる。 できない理由が思いつかないけど
どんなエラーでるの? Hyper-V-VMMS サービスプリンシパル名を登録できませんでした。
と、でるんですが、起動時だけなのでおそらくスレ違いかなと。
当然起動時にはDCが見当たらない旨のエラーはでるわけで、
その他、時刻の同期についても検討しなければならんかも〜 ActiveDirectoryのパスワードってパスワードがそのまま保存されているのでしょうか?
あるいは、不可逆なハッシュ値のようなものが保存されているのでしょうか? >>577
平文なのですか?なるほど。それなら取り出せそうですね。 たびたびすみません。
ActiveDirectoryに登録されているユーザーの属性が変更されたことを
プログラム(ADSI?)から監視してActiveDirectoryからの変更イベントを
通知してもらうようなことはできますか?
それともポーリングするしかないでしょうか? >>579
セキュリティポリシーの監査だけでは不足かい? >>580
ありがとうございます。
イベントログを監視するということでよいでしょうか? >>581
そう。監視する仕組みあるならそれだけでよし。
通知するならプラスeventtriggersでメールかなんか発砲 特定のPCだけに自作の弁当注文アプリをインストールさせるにはどうすりゃいい? >>582
ありがとうございます。ちょっと試してみます。 >>583
ローカルアカウントでログオンしてインストールしろ ADと信頼関係を結んだMIT Kerberosがあり、
ログイン時の認証はMIT Kerberosでやって、
ユーザ情報などはADのものを利用したいと考えています。
WindowsだとADのドメインに参加させた後に、
MIT KerberosのKDCをksetupで登録したらできたのですが、
同じ事をMACでやる場合はどうすればいいでしょうか?
(MAC版で質問した方がいいでしょうか?) 問題点にMS製品関係ないだろw
売りつけたベンダに聞けよ >>585
一個一個PCにインストールしなきゃいけないの? >>588
特定って一台かと思った。
でも数台ならローカルアカウントあるいはadminでログオンして入れた方が早いだろ
グループ組んで当該PC放り込んでグループポリシー作って
ログオンスクリプトかなんかで配るとか?
最近触ってないから自信ない
>>586
MacOSXをAD参加させて ... ということ?
AD参加まではできている?
AD参加は、AD-DCに凝った設定をしてないく、
手順がわかれば簡単にできると思うけど、
kerberos関連は、Internetでみつからなければ、
以下の書籍などをあたってみては?
(OSXのバージョンによっても、変わるかも)
Mac OS Xシステム管理リファレンス1
ディレクトリサービス、セキュリティ、ネットワーキングとファイルサービス
ttp://www.borndigital.co.jp/book/detail.php?id=84
英文なら、もう少し書籍があるかも(文献が少ない分野かも)。 >>589
MacのAD参加まではできています。
あとは、/Library/Preferences/edu.mit.kerberosの設定を書き換えて
なんとかできないかなと思っているのですが…。
紹介して頂いた書籍のディレクトリサービスの管理は興味深いですね。
あとは書籍と色々サイトを調べて地道に試していくしかないですかね。 ActiveDirectoryの代わりにopenLDAPでも統合Windows認証って
できるんですかね まともに動かないよ。
サポートしてくれるとこがないならやめといた方が無難。 Active Directoryのテスト環境を作りましたが、不明点がありまし
■サーバ
OS:2008
ホスト名:SRV01
ドメイン名:test.local
IPアドレス:192.168.0.10/24(static)
役割:
・ADDS
・DHCPサーバ(スコープ範囲192.168.0.11〜20)
・DNSサーバ(AレコードにSRV01=192.168.0.10のみ登録)
上記ドメインにXP-Proのホスト名「XP01」というコンピュータを参加させました。
IPアドレスはDHCPで取得し、192.168.0.11が割り振られました。
DNSの前方参照を見ても、サーバのAレコードは登録されていますが、
勿論XP01=192.168.0.11なんて情報は登録されていません。
この場合、XP01が192.168.0.11であるという情報はどこに登録されているのでしょうか?
DHCPクライアントなので192.168.0.11から変更になった場合でも、
>nslookup XP01
で
192.168.0.15(例)
などのように変化するアドレスに対応できなければいけません
初歩的な質問ですみませんが、どなたかご教授くださいませ