Windows★Active Directoryｽﾚ

**504** · 2009/06/10(水) 22:56:59

すみません、OSはXP proです

**名無し~3.EXE** · 2009/06/10(水) 23:42:03

>>504
ユーザーAとBをAD上で別のセキュリティグループにする
グループポリシーでAが所属するグループには壁紙AをBが所属するグループには壁紙Bを

ってのはだめ？

**名無し~3.EXE** · 2009/06/10(水) 23:48:50

>>505
ドメイングループポリシーからは出来ません
ユーザログオン後の壁紙設定はドメインユーザ固有の設定なので、
コンピュータ毎に別々の壁紙で固定としたいなら、

・ドメインユーザのグループポリシー設定を外す
・各々のコンピュータのローカルユーザポリシーで壁紙を設定する
・各々のコンピュータのgpedit.mscで
　コンピュータの構成
　　- 管理用テンプレート
　　　- システム
　　　　- グループポリシー
　　　　　- ユーザーグループポリシーループバック
　を有効とする

といったことが必要

**504** · 2009/06/11(木) 00:15:43

>>506 >>507
レスどうもありがとうございますm(_ _)m

調べていたら、ﾚｼﾞｽﾄﾘ変更でにてｺﾝﾋﾟｭｰﾀ毎に、
壁紙の固定化を強制できそうですので、こちらでやってみることにします。
http://www.windows-world.jp/tips/-/10661.html

**名無し~3.EXE** · 2009/06/11(木) 00:41:44

>>508
そのやり方はHKEY_CURRENT_USERの修正なので、一旦そのユーザで
ログオンしてからそのユーザで修正する必要があります
つまり、ログオンした先で画面の設定から壁紙を選ぶのと同じ

それで良ければどうぞ

**504** · 2009/06/11(木) 06:30:38

>>509
レスありがとうございます。
実際やってみましたけど、その通りでした。
正攻法は>>506さんのやり方ですね
>>507さんのはちょっと複雑(;^_^A
残念ながら、ﾕｰｻﾞｰの所属ｸﾞﾙｰﾌﾟを変更するのは難しいので
ﾕｰｻﾞｰ作業で、初回ﾛｸﾞｵﾝ時に壁紙変更をしてもらうことにします（ｱﾅﾛｸﾞですが。。）

**名無し~3.EXE** · 2009/06/11(木) 22:03:03

ぼーっと読んでると途轍もなくややこしいな。グループポリシー

**名無し~3.EXE** · 2009/07/05(日) 13:54:28

BDC導入はやっぱり必須なんでしょうか。
導入することに伴う煩雑化は発生しますか？

**名無し~3.EXE** · 2009/07/05(日) 14:00:44

>>512
ADの場合BDCじゃないけどね
重要なドメインだったらDCは最低二台
運用は一台と大して変わらないけど、操作マスタの移動とかは知っておいたほうが良い

**名無し~3.EXE** · 2009/07/05(日) 16:50:29

>>513
ありがとう。
ちっちゃな会社なので、1DCでの構築＋グループポリシーのみしか
やったことがなかったので、ちょっと調べてみます。

**名無し~3.EXE** · 2009/07/05(日) 21:49:07

>>514
一台だけだと壊れたときに目も当てられないからね
操作マスタの操作はntdsutilでどうぞ

**名無し~3.EXE** · 2009/07/06(月) 11:21:35

2台とか怖すぎる、２+別室にもう一台の3以上でお願いします；；

**名無し~3.EXE** · 2009/07/07(火) 01:07:56

移動プロファイルを設定したのに壁紙などが引き継がれない
どうしてなんだろ…

**名無し~3.EXE** · 2009/07/07(火) 01:08:44

いやいや、それだとビルが破壊されたときに・・・

**名無し~3.EXE** · 2009/07/07(火) 01:31:35

いやいや安全を考えると全PCをDCにするべきだ

**名無し~3.EXE** · 2009/07/07(火) 02:19:11

>>519
本末転倒

**名無し~3.EXE** · 2009/07/09(木) 09:13:17

じゃあDC無しってことで・・・

**名無し~3.EXE** · 2009/07/09(木) 21:42:57

>>521
ワークグループ最強説

**名無し~3.EXE** · 2009/08/02(日) 20:16:10

WindowsServer2008を使用しています。

デフォルトでは、管理者でない、普通のドメインユーザーでも、
１０台までならＰＣのアカウントをＡＤ上に作成出来ますよね。

でもこれでは、一般社員が持ち込んだ私物ＰＣが、管理者の知らぬ間に
ＡＤに作成されてしまいます。

「コンピュータアカウントの作成権限」を、普通のユーザーから取り上げる、
または、一部のユーザーにのみ許可する、という設定は
どこから行えばよいでしょうか？

**名無し~3.EXE** · 2009/08/02(日) 20:40:15

私物にIPを付与しなければいいんじゃね？

**名無し~3.EXE** · 2009/08/02(日) 20:50:17

つ ms-DS-MachineAccountQuota

**名無し~3.EXE** · 2009/08/05(水) 12:36:53

WORKGROUP環境からADへ移行した時に、クライアントのユーザーデータを
moveuserでADアカウントへ移行した。その時に起きた事と、どう対処したかの
私用メモ。当分dat落ちしそうにないし、いいよねｗ　長くてごめん。

クライアント：Windows XP SP2～3 10拠点100台くらい
ドメインコントローラー：Windows Server 2008 Standard

ローカルユーザーアカウントtestを作成し、Administratorsグループに
所属させ、パスワードを付与し、testアカウントにログオンして作業。
↑
最初はAdministratorで作業しようとしたが、最初の端末がAdministratorで
運用されてたので、作業用に別アカウントを作成する事にした。
結局、Administratorで運用されてたのは3台あった。

**名無し~3.EXE** · 2009/08/05(水) 12:37:11

moveuserコマンド実行時

・Error 5(2かも。作業メモが汚くてよくわからん状態)

移行元アカウントのデータがあるフォルダに対し、Administrators
グループのアクセス権がなかった(user01というアカウントだとすると、
C:\Document and Settings\user01フォルダのアクセス許可エントリの
内容が、user01にフルコントロールの1行だけ、所有権もuser01だった)
ので、アクセス許可エントリの内容にAdministratorsとSYSTEMそれぞれ
フルコントロールで追加、所有権をAdministratorsに変更した。
↑
なんかうまく行くようになっただけで、正しいかは不明。

・Error 1317

既にmoveuserの処理を行っていた。疲れていたので休憩した。
よく見たら Windows XP Home Edition だったので、
Professionalに入れ替えた。

・Error 1332

アカウント名のスペルが間違っていたので、スペル間違いを修正した。

**名無し~3.EXE** · 2009/08/05(水) 12:37:45

moveuser実行後、ADアカウントでログインした時

・壁紙が表示されない、デスクトップのアイコンがない

アクセスが拒否された旨のメッセージが表示されたため、
前述のError 5(2かも)の時と同じ対処をした。

但し、1台だけどうにもならないのがあった。サブフォルダ以降に
アクセス許可エントリの修正が反映されず、数百ファイルを手動で
修正したが根が尽きた。古いPCで運用5年目であったため、掃除も
兼ねリカバリをかけ、復旧。

・Office2000、Acrobat Readerのデータファイルのアイコンが、
　関連付けなし状態になった
・いくつかのアプリケーションアイコンが地味なものに統一された

アイコンファイルの在処を調べると、%systemroot%Installer
フォルダにあるはずという事がわかったが、この現象が発生
している場合、そのフォルダの中身がカラだった。

当該アプリケーションの再インストールを試みたが、削除も
できなかった。

現象が発生していない他のPCでも参照先のフォルダは同じか
似通ったものであったため、Office2000についてはフォルダを
コピー、Acrobat ReaderについてはWindows Install Clean Up
でインストール情報を削除後、再インストールした。

こんなもんか。トータルでは楽できたから良かった。
最後のInstallerフォルダの中身消失はどうすれば防げるのか・・・
一時的にリードオンリーにでもすればいいのかな？

**名無し~3.EXE** · 2009/08/21(金) 00:21:57

うーむ

**名無し~3.EXE** · 2009/08/27(木) 14:00:25

Windows 2003 Serverでサーバが物理的に故障した際に、
別のサーバーのWindows 2003 ServerにバックアップからADを復元し
修理期間の間の代替え機として使う事は可能でしょうか？

**名無し~3.EXE** · 2009/08/27(木) 23:07:53

>>530
事前にバックアップを検討しておけよ
ってかサーバー機が1台しかないのか？

**名無し~3.EXE** · 2009/08/28(金) 00:20:24

可能
でもバカ
DC二台以上建てとけよ

**530** · 2009/08/28(金) 09:59:04

レスありがとうございます。

>>531
サーバー機は1台です。
>>532
可能なようで安心しました。
2台で運用してくれると助かるのですがね…

**名無し~3.EXE** · 2009/08/28(金) 15:50:40

同じHW構成のサーバであれば、
ADの復元も難しくないのかも
だけど、違うHW構成のとこに
戻す必要があるなら、安心せず、
手順を確認した方がよいかも。

**名無し~3.EXE** · 2009/08/28(金) 22:51:45

常識的に考えてサーバーは二台以上立てないと
そんなに冗長性を無視したいのか？
バックアップがないならむしろADなんか使わない方がいい

**名無し~3.EXE** · 2009/08/29(土) 02:22:15

世の中にはいろんな事情があるんだろ

**名無し~3.EXE** · 2009/08/29(土) 20:46:57

中小相手の仕事してると、１台で運用しているところなんてたくさんあるよ
顧客がメリデリ踏まえたうえで１台構成でいいと言ってきたら、強引に２台目を構築するわけにもいかないしね

**名無し~3.EXE** · 2009/08/29(土) 21:16:06

>>537
代替機が準備できるんなら最初から二重化しておけってことだろ

**名無し~3.EXE** · 2009/08/29(土) 23:53:40

ADの運用をこんなとこで聞いて運用するなよ。

**名無し~3.EXE** · 2009/08/30(日) 00:38:45

痛い目に遭うのは自分たち（中小企業）なのにね･･･

**名無しさん＠そうだ選挙に行こう** · 2009/08/30(日) 15:57:05

>>538
馬鹿だな。代替機を中小企業が用意する訳無いじゃないか。
売ったとこが用意してやるんだよ。

**名無し~3.EXE** · 2009/08/31(月) 18:43:15

>>541
それじゃ客もSIerも馬鹿だね
WGの方が安全だな

**名無し~3.EXE** · 2009/09/03(木) 14:33:38

ActiveDirectory(windows2003)を利用してます。

新たにプリンタを追加しまして、現在はそれに直接IPを割り当てて
ネットワークプリンタとして利用し、クライアントには個別でドライバを
インストールしてます。

これをクライアントログイン時に自動的に共有プリンタとして
割り当てたいのですが、どうやれば宜しいでしょうか？
尚、プリンタサーバを利用しないことが前提です。

wshNetwork.AddWindowsPrinterConnectionだと
\\Server\Printerとかやらなければならないと思いますが、
今回はプリンタサーバを利用したくないので
やり方があればお教えください。

**名無し~3.EXE** · 2009/09/03(木) 23:20:02

ログオンスクリプトでプリンタ追加のサイレントインストールスクリプトでも流したら？
プリントサーバ使ったほうが楽だと思うけどね

**名無し~3.EXE** · 2009/09/04(金) 22:49:28

プリンタをStandard TCP/IP Portでインストールしちゃだめか･･･

**名無し~3.EXE** · 2009/09/05(土) 20:03:33

すみません、ちょっと質問です。

プライマリのドメコン：2008 Standard、機能レベル2008
セカンダリのドメコン：2008 Standard、機能レベル2008
DNSサーバ：ドメコン以外のサーバ

という環境なのですが、セカンダリのサーバをメンテナンスのためシャットダウンするとします。
その際に、何か気をつけておく必要がありますか？
普通にシャットダウンするだけで、メンテナンス後、電源投入でプライマリからレプリケートされ
問題なくセカンダリのDCとして使えますか？

初歩的な質問ですみません。どなたが教えて下されば助かります。

**名無し~3.EXE** · 2009/09/05(土) 20:51:08

別にどっちをシャットダウンしようが問題ないから安心しろ。片系停止中の複製エラーだけ無視すればよい。

**名無し~3.EXE** · 2009/09/08(火) 12:07:39

助けてー。

セキュリティーグループをADに新規に追加して、
該当のユーザーの所属グループに追加しました。

そのセキュリティーグループを共有フォルダのアクセス許可にフルコントロールで追加
したのですが、実際にアクセスしようとするとアクセス権がありませんと
拒否られてしまいます。
このセキュリティーグループ以外はありません。
(Evetyoneを追加すれば当然見れます)
念のため、セキュリティにも同じのをフルコントロールで追加しても同じです。

何か基本的な事忘れてますか？

■新規作成したセキュリティーグループ
・グループスコープ … グローバル
・グループの種類･･･セキュリティ
・メンバには追加したユーザーが表示されています。

**名無し~3.EXE** · 2009/09/08(火) 12:28:42

NTFSのACLを変更してないとか

**名無し~3.EXE** · 2009/09/08(火) 12:58:28

>>549
ありがとう御座います。

NTFSのACL って、フォルダのセキュリティ→詳細設定の画面の事ですよね？

それであれば、フルコントロールになっています。

**名無し~3.EXE** · 2009/09/08(火) 21:40:32

ファイルサーバ？だとすると、
「共有」のタブの方でのアクセス権
の設定とか？

**名無し~3.EXE** · 2009/09/09(水) 18:53:22

グループにユーザー追加してからログオンし直してないとか？

**名無し~3.EXE** · 2009/09/15(火) 21:05:24

a.example.comとb.example.comというDNSドメインがある時に、
DCをa.example.comだけで運用するって可能？
それとも、DNSドメインごとにDCが必要になる？

**名無し~3.EXE** · 2009/09/17(木) 19:04:24

このカテゴリーに入るのか分かりませんが、フォルダのアクセス権を
人ではなく、アプリだけにする事って可能ですか？

やりたい事としては、Excelファイルを保存してある共有フォルダがあるのですが、
そこへのアクセス(参照や更新)は、ソフトウェアを利用したアクセスだけにしたいのです。

**名無し~3.EXE** · 2009/09/17(木) 19:38:13

どうしようもないバカ

**名無し~3.EXE** · 2009/09/17(木) 19:40:26

>>553

>a.example.comとb.example.comというDNSドメインがある時に、
>DCをa.example.comだけで運用するって可能？
>それとも、DNSドメインごとにDCが必要になる？

何をやりたいの？

example.comは、正規のドメイン？おれおれドメイン？
a.example.com、b.example.comは既にあって、
BIND使ってるとか？

もし。会社のドメインがexample.comで、そこに
a部門、b部門があるなら、ADドメインは、
a-ad.a.example.com
b-ad.b.example.com
のような感じで普通のドメインの下に
AD専用ドメインを設定したいかな。

>DCをa.example.comだけで運用するって可能？
この場合、b.example.comのパソコン、サーバも
a-ad.a.example.comのドメインに参加すれば、
b.example.comドメイン配下のホスト名でも
a-ad.a.example.comドメイン配下のホスト名でも
アクセスできるようにはなる。

**554** · 2009/09/18(金) 10:40:31

>>555
なぜに？

**名無し~3.EXE** · 2009/09/18(金) 12:29:50

>>554
今ひとつ意味がわからんけど、ようするにExplorerでフォルダの内容を表示したくないって事か？

**名無し~3.EXE** · 2009/09/18(金) 13:16:23

>>557
よくわからんけど
ソフトウェアを利用したアクセスって、Excelを起動して「開く」→共有フォルダのファイルってこと？
んでソフトウェアを利用しないアクセスって直接、共有フォルダのファイルをダブルクリックするってこと？

アクセス権のアプリにするのはさすがに無理
アプリを使うのも人だし

**名無し~3.EXE** · 2009/09/18(金) 14:34:16

>>558
そうです。

>>559
例えば、Excel VBAとかで他のブックを操作する事が出来ますが、
そのVBA経由の操作は許すが、他のブックを直接開いて編集するような事を制限したい。

例:
共有フォルダ･･･ A.xls (直接ユーザーに編集して欲しくない)

ローカルPC ･･･ B.xls (VBAを利用しA.xlsのセル情報を更新する)

こんな感じなんですが、無理でしょうか･･･。
更に言うと、ある特定の人だけ、A.xlsのファイルを直接編集できるようにしたい。

**名無し~3.EXE** · 2009/09/18(金) 19:25:03

B.xlsにパスワードかけて、A.xlsのマクロで触りにいけばいいんじゃない？
A.xlsのNTFSアクセス権で、使うユーザのみに権限与えれば特定ユーザのみ開けるようになるんじゃないかい

まぁ、これは例題に対しての対処療法なので、他のアプリが同じようにできるとは限らないだろうね

アプリ限定で、アクセス制御できるなんてきいたことないわ

**名無し~3.EXE** · 2009/09/18(金) 19:26:06

A.xlsとB.xlsが逆だった

**名無し~3.EXE** · 2009/09/21(月) 01:26:05

初歩的な質問で申し訳ないのですが、
セキュリティグループで、ドメインローカルグループやグローバルグループをネストする、っていう解説があるんですが
ネストというのはこの場合どういった意味合いを指しているのでしょうか？

プログラミングだと入れ子といった意味のようですが、
ユニバーサルグループだと
フォレスト内のユーザー、グローバルグループ、ユニバーサルグループをネストするとってのは
上記3つのユーザやグループを一括りのものとして設定（もしくは定義）する、という考え方でいいのでしょうか？

こんな質問をここでしたらいいのかわかりませんが、ネスト自体を当たり前のように書いているHPしか見つからないので
どなたか教えていただければ幸いです……。

**名無し~3.EXE** · 2009/09/21(月) 02:03:20

そう

**名無し~3.EXE** · 2009/09/22(火) 06:30:52

GPOを使用したパソコンへのアクセス制限について教えてください。
以下の場合を想定しています。
１．特定（管理者）グループのみのドメインコントローラへのアクセス
２．クライアントPCに自分のアカウント以外でのアクセス拒否
３．信頼関係のあるドメインからのログインアクセス拒否
　　（PCがAドメインに属している場合、信頼関係のあるBドメインユーザーの拒否）

この時のログインに使用するアカウントはドメインアカウントを指します。
わかりやすく説明してあるサイトがありましたら教えてください。
また、このあたりが出題範囲になるようなMCPの資格本を勉強したいのですが
どれか分かりますでしょうか？（70-290とか）

**名無し~3.EXE** · 2009/10/01(木) 01:28:18

>>565
そこまで状況を限定した内容について書いている本など無い
まずGPO以前にグループポリシーのネストについて勉強して、
クライアントPCに対して限定的に制限を設定する方法を勉強する

その上で、GPOがどのような順位で優先的に適用されていくか
（AD上のドメイン<サイト<親OU<子OU<PC内ローカルルール）
をしっかりと理解し、どこにGPOをリンクさせるかを検討しなければならないが、
実際のところは実機なり仮想環境なりでシミュレートを行ってそれが正しく適用されるか
試してみるのが一番理解できる

本については、2003 Serverでは少なくとも赤本では無理
2003 Serverなら最低限R2対応の解説書（俺の知る限りSP2に対応した書籍は無い）か、
もしくは2008のAD関連の参考書を立ち読みでもして、
自分の求めている説明に近いことが解説されている本で勉強する以外無いと思われる

**名無し~3.EXE** · 2009/10/05(月) 16:18:46

ASP.NETでUser.Identity.NameでログインユーザーIDとドメインは取得できますが
パスワードは取得できないでしょうか？
セキュリティがらみで無理だとは思うのですが、そこをなんとか取得
できないものでしょうか？

**名無し~3.EXE** · 2009/10/05(月) 17:53:24

キーロガーでも組み込むしかないのでは。

**名無し~3.EXE** · 2009/10/05(月) 18:01:43

>>568
なかなかいいですね！

**名無し~3.EXE** · 2009/10/05(月) 18:08:33

おいおい・・・・。

**名無し~3.EXE** · 2009/10/05(月) 21:51:12

エクスプローラでマイネットワークからサーバが表示されないPCがある
なんでかわからん
ファイアーウォール関係ある？

**名無し~3.EXE** · 2009/10/05(月) 22:04:28

関係あるに決まってるだろ

**名無し~3.EXE** · 2009/10/09(金) 00:22:01

Hyper-VゲストにDCおいて、Hyper-Vホストのドメイン参加ってできるのな。
しらねかったよ。ホストにHyper-Vのエラー出るけどしばらく様子見してる。

**名無し~3.EXE** · 2009/10/09(金) 00:33:03

できない理由が思いつかないけど
どんなエラーでるの？

**573ですよ** · 2009/10/09(金) 17:49:29

Hyper-V-VMMS　サービスプリンシパル名を登録できませんでした。
と、でるんですが、起動時だけなのでおそらくスレ違いかなと。
当然起動時にはDCが見当たらない旨のエラーはでるわけで、
その他、時刻の同期についても検討しなければならんかも～

**名無し~3.EXE** · 2009/10/13(火) 09:45:41

ActiveDirectoryのパスワードってパスワードがそのまま保存されているのでしょうか？
あるいは、不可逆なハッシュ値のようなものが保存されているのでしょうか？

**名無し~3.EXE** · 2009/10/13(火) 10:46:13

デフォルトだと平文で保存

**名無し~3.EXE** · 2009/10/13(火) 10:56:52

>>577
平文なのですか？なるほど。それなら取り出せそうですね。

**名無し~3.EXE** · 2009/10/13(火) 11:43:29

たびたびすみません。
ActiveDirectoryに登録されているユーザーの属性が変更されたことを
プログラム（ADSI?)から監視してActiveDirectoryからの変更イベントを
通知してもらうようなことはできますか？
それともポーリングするしかないでしょうか？

**名無し~3.EXE** · 2009/10/13(火) 17:29:46

>>579
セキュリティポリシーの監査だけでは不足かい？

**名無し~3.EXE** · 2009/10/13(火) 17:50:47

>>580
ありがとうございます。
イベントログを監視するということでよいでしょうか？

**名無し~3.EXE** · 2009/10/13(火) 19:07:26

>>581
そう。監視する仕組みあるならそれだけでよし。
通知するならプラスeventtriggersでメールかなんか発砲

**名無し~3.EXE** · 2009/10/13(火) 23:40:25

特定のPCだけに自作の弁当注文アプリをインストールさせるにはどうすりゃいい？

**名無し~3.EXE** · 2009/10/14(水) 08:20:23

>>582
ありがとうございます。ちょっと試してみます。

**名無し~3.EXE** · 2009/10/14(水) 14:17:20

>>583
ローカルアカウントでログオンしてインストールしろ

**名無し~3.EXE** · 2009/10/14(水) 18:46:42

ADと信頼関係を結んだMIT Kerberosがあり、
ログイン時の認証はMIT Kerberosでやって、
ユーザ情報などはADのものを利用したいと考えています。

WindowsだとADのドメインに参加させた後に、
MIT KerberosのKDCをksetupで登録したらできたのですが、
同じ事をMACでやる場合はどうすればいいでしょうか？

（MAC版で質問した方がいいでしょうか？）

**名無し~3.EXE** · 2009/10/14(水) 21:33:35

問題点にMS製品関係ないだろｗ
売りつけたベンダに聞けよ

**名無し~3.EXE** · 2009/10/14(水) 22:22:52

>>585
一個一個PCにインストールしなきゃいけないの？

**名無し~3.EXE** · 2009/10/14(水) 22:40:30

>>588
特定って一台かと思った。
でも数台ならローカルアカウントあるいはadminでログオンして入れた方が早いだろ

グループ組んで当該ＰＣ放り込んでグループポリシー作って
ログオンスクリプトかなんかで配るとか？

最近触ってないから自信ない

**名無し~3.EXE** · 2009/10/14(水) 23:27:25

>>586

MacOSXをAD参加させて ... ということ？
AD参加まではできている？

AD参加は、AD-DCに凝った設定をしてないく、
手順がわかれば簡単にできると思うけど、
kerberos関連は、Internetでみつからなければ、
以下の書籍などをあたってみては？
（OSXのバージョンによっても、変わるかも）

Mac OS Xシステム管理リファレンス１
ディレクトリサービス、セキュリティ、ネットワーキングとファイルサービス
ttp://www.borndigital.co.jp/book/detail.php?id=84

英文なら、もう少し書籍があるかも（文献が少ない分野かも）。

**586** · 2009/10/15(木) 08:43:47

>>589

MacのAD参加まではできています。
あとは、/Library/Preferences/edu.mit.kerberosの設定を書き換えて
なんとかできないかなと思っているのですが…。

紹介して頂いた書籍のディレクトリサービスの管理は興味深いですね。

あとは書籍と色々サイトを調べて地道に試していくしかないですかね。

**名無し~3.EXE** · 2009/10/15(木) 11:24:38

ActiveDirectoryの代わりにopenLDAPでも統合Windows認証って
できるんですかね

**名無し~3.EXE** · 2009/10/15(木) 11:47:08

まともに動かないよ。
サポートしてくれるとこがないならやめといた方が無難。

**名無し~3.EXE** · 2009/10/15(木) 11:59:38

>>593
了解しました！

**名無し~3.EXE** · 2009/11/11(水) 20:22:29

Active Directoryのテスト環境を作りましたが、不明点がありまし

■サーバ
OS:2008
ホスト名:SRV01
ドメイン名:test.local
IPアドレス:192.168.0.10/24(static)
役割：
・ADDS
・DHCPサーバ(スコープ範囲192.168.0.11～20)
・DNSサーバ(AレコードにSRV01=192.168.0.10のみ登録)

上記ドメインにXP-Proのホスト名「XP01」というコンピュータを参加させました。
IPアドレスはDHCPで取得し、192.168.0.11が割り振られました。

DNSの前方参照を見ても、サーバのAレコードは登録されていますが、
勿論XP01=192.168.0.11なんて情報は登録されていません。

この場合、XP01が192.168.0.11であるという情報はどこに登録されているのでしょうか？
DHCPクライアントなので192.168.0.11から変更になった場合でも、
>nslookup XP01
で
192.168.0.15(例)
などのように変化するアドレスに対応できなければいけません

初歩的な質問ですみませんが、どなたかご教授くださいませ

**名無し~3.EXE** · 2009/11/11(水) 21:06:01

>>595
まずは2003の話でごめんって謝っとく。

んで、普通にドメインに参加した状態ならDNSの前方参照に登録されるはずだよ？
XP側の設定でTCP→DNSタブでこの接続をDNSの登録に使うとかいうチェックボックスはONになってる？

なってるようならipconfig /registerdnsをクライアント側で実行
DNSの登録情報をF5連打でどぉ？

**名無し~3.EXE** · 2009/11/12(木) 06:27:23

>>596

ありがとうございます！
早速試してみますね

**名無し~3.EXE** · 2009/11/16(月) 11:11:09

「ログオン時間の有効期間が切れたときに実行するアクションを設定する」というポリシーについて
教えてください。

DC Windoes Server 2008R2
クライアント Windows 7 x64 ultimate

DCにて、強制ログアウトというGPOを作り、ユーザーの構成、管理用テンプレート、Windowdコンポーネント、
Windowsログオンのオプション、「ログオン時間の有効期間が切れたときに実行するアクションを設定する」を
有効にして、アクションにロックを選択しました。

次に、ユーザtestのプロパティのログオン時間でログオン拒否の時間帯を設定しました。

クライアントマシンにtestでログオンして、ログオン拒否の時間になると、強制的にロックされるという
動作を期待しているのですが、働かない場合があります。

最初にはまったのは、クライアントマシンにてAD\testユーザに管理者権限を与えた場合にアクションが
無効になっていました。これは考えてみたら、当たり前の話ですね。
クライアントマシンに問題のユーザの管理者権限が無い状態にして、ドメインのユーザー権限もDomain
Usersにしてあると、一見正常に動いているように見えたのですが、他のマシンやユーザで強制ログアウトが
働かない場合があります。

正常に働かないマシンにて、問題のユーザでgpresult -vを見たら、ポリシーに関しては設定されていることを
確認してあります。他にこのポリシーが働かなくなる条件があるのでしょうか。

**名無し~3.EXE** · 2009/11/17(火) 03:19:51

パソコンがAD配下にありDHCPとWINSが複数あるんだけど、
インターネット閲覧が遅いと思って何気なくipconfigを
数分毎にやってみるとWINSのプライマリとセカンダリが
時々入れ替わってる。この間パソコンのリブートは無し。
パソコンが遅い理由はさておき、この入れ替わるというのは
何かの条件で起こるものなんでしょうか？
サーバー管理者は設定変更してないって言ってるんですが。

**名無し~3.EXE** · 2009/11/17(火) 16:59:04

>>599
管理者にお尋ねください

**sage** · 2009/11/18(水) 01:15:41

>>599
エスパーじゃないので推測に過ぎないが
・DHCPサーバが複数台ある(冗長化されている)
・DHCPサーバのDHCPオプション設定でWINSサーバの優先順位が1台目と2台目で逆に設定されている
・複数台のDHCPサーバは同じ物理的距離に在りどちらが払い出すかはタイミング次第

**名無し~3.EXE** · 2009/12/22(火) 23:06:24

http://technet.microsoft.com/ja-jp/activedirectory/default.aspx

**名無し~3.EXE** · 2010/02/19(金) 23:43:35

2003Enterprise Edition(R2では無いです。)
ADのフォルダリダイレクトの設定でファイルサーバ上にリダイレクトしてて
設定を「ユーザーに <フォルダ名> に対して排他的な権限を与える」を有効にしてた場合ですが
そのデータを別サーバに複製しようとしても出来ないですよね？
複数人のこういったリダイレクトされたデータを
ファイルサーバが壊れたときのために複製したいんですが
排他的な権限を与えAdmin権限をもってしてもアクセス権が無い状態では
無理な話なのでしょうか？

**名無し~3.EXE** · 2010/02/20(土) 00:31:32

Backup Operators権限でレプリケートの動作をするようなアプリを使えばよろし。
まぁ、具体的にそんなアプリを見たり調べたことがあるわけでもないが。
手間暇掛けられるんならntbackupとかでバックアップとってリストアするのはできるでしょ。

**名無し~3.EXE** · 2010/02/25(木) 18:17:53

☆関連スレ

Windows Server 2008／2008R2
http://pc12.2ch.net/test/read.cgi/win/1232512417/

Exchange Serverスレッド
http://pc12.2ch.net/test/read.cgi/win/1049567372/

**名無し~3.EXE** · 2010/02/26(金) 08:56:19

☆関連板

自宅サーバ＠2ch掲示板
http://pc11.2ch.net/mysv/

**名無し~3.EXE** · 2010/03/07(日) 20:28:17

リソースキット買ったんですが…
何か日本語読みにくい気がするのは気のせいだろうか

**名無し~3.EXE** · 2010/03/10(水) 06:49:25

☆関連スレ

Windows Server 2008／2008R2 Part2
http://pc12.2ch.net/test/read.cgi/win/1268134563/

Small Business Server 2000/2003のスレ
http://pc12.2ch.net/test/read.cgi/win/1157930777/

**名無し~3.EXE** · 2010/03/15(月) 11:45:57

ADのサーバ一台を処分する際、dcpromo.exeで降格せずにサーバを処分してしまったのですが、
この後AD(2008)から処分したサーバ情報を削除(降格)するにはどうしたら良いのでしょうか？

ググるとadsiedit.msc(http://support.microsoft.com/default.aspx?scid=kb;ja;216498)
が出てくるのですが、ここには、
「Windows Server 2008 の場合、管理者は Active Directory ユーザーとコンピュータ
スナップインでサーバーオブジェクトを削除することで、サーバーオブジェクトのメタ
データを削除できます。」
とあります。
これは具体的にはどういうことなのでしょうか・・・・。

**名無し~3.EXE** · 2010/03/15(月) 12:36:06

>>609
もうそれ以上、具体的に説明できないほど具体的です。

書いてあるスナップインでサーバーを右クリックして削除すれば良いと思います・・・。

2003のときはそこで消してもDNSにはちょこちょこ残っちゃったりして困った覚えがあります。

**名無し~3.EXE** · 2010/03/15(月) 12:40:48

>>610
なるほど・・・。
そのままサーバ名を消しちゃっていいんですね。
後は必要に応じてADにコンピュータ名登録名とかDNS名を削除する、ってことですね。
ありがとうございます。

**名無し~3.EXE** · 2010/03/15(月) 12:54:22

>>611
ちょっと違う

**名無し~3.EXE** · 2010/03/15(月) 13:20:19

>>612
まじっすか！？
消しちゃったよ・・・・。

**名無し~3.EXE** · 2010/03/26(金) 00:19:39

すみません、ActiveDirectoryで誰がファイルを削除したとか分かるようにするにはどうすればいいですか？
2008R2なんですが
ファイルをユーザーが削除したかサーバーに問題があってファイルが勝手に消えたか
証明しないといけないんですが。デフォルトの設定だと解析するの無理ですか？

**名無し~3.EXE** · 2010/03/26(金) 01:12:35

オブジェクトアクセスの監査

**名無し~3.EXE** · 2010/03/26(金) 23:25:38

AD2003のユーザーアカウントのSIDを
AD2008のユーザーアカウントのSID履歴に追加したい

Windows 2008 64-bit 上で、CUIプログラムで上記を実施したいのですが、
Windows 2003のサポートツールにあった"clonepr.dll"が、
Windows 2008には存在しませんでした。（サポートツール自体がない？）

とりあえず、Windows 2003にあった"clonepr.dll"を使えないか試してみたのですが、
32-bit OS 上だと動作することは確認できたのですが、
64ibit OS 上だとレジストリに登録することすらできませんでした。

DsAddSidHistory(ntdsapi.dll)というのを見つけたのですが、
英語のページしかなく理解できませんでした。

CUIでSID履歴を追加する方法をご存知の方がいましたら、
教えてください。

**名無し~3.EXE** · 2010/03/28(日) 20:18:45

>>616
> CUIでSID履歴を追加する方法をご存知の方がいましたら、

ADMT v3.1

**名無し~3.EXE** · 2010/03/30(火) 22:18:52

以下のような場合、ActiveDirectoryに発生する障害について教えてくれ。

社内のActiveDirectoryを管理しているサーバ名が『Server01.company.jp』だとする。
DNSサーバーも、上記サーバーのIPアドレスだとする。

このネットワークに、クライアント『Server01.company.jp』を乱入させたら、どんなシステム障害が出る？
（ドメインコントローラの名前とクライアント名が重複している）

**名無し~3.EXE** · 2010/04/01(木) 21:28:05

ActiveDirectoryの参加方法に関して質問。

クライアントからＡＤに参加するときに『サーバーのDomain管理者』のユーザー名とパスワードを入力するよう催促されるよな？
となると、数十台のＰＣを追加した場合、
Domain管理者がクライアント1台1台にAdministratorのユーザー名とパスワードを入力せにゃならんの？
それって無駄じゃね？

**名無し~3.EXE** · 2010/04/01(木) 21:45:13

ADのDCでいじってなければ
普通のユーザでも10台まで
ドメイン参加できたかと。

ユーザが多いんなら、
ドメイン参加専用ユーザ
作って参加権限を割り当てたり
他の権限をはずしたり？

どういうはずし方がよい？

専用のユーザで作業するように
しておけば、ドメイン参加、非参加、
再参加などでコンピュータアカウント
作成関連の権限の問題にも
ぶつからずに済む。

専用ユーザで作業してない場合、
administratorでの作業が必要に
なりやすい？

コンピュータアカウントを
プレステージングする時も
専用ユーザを使うのが吉？

**名無し~3.EXE** · 2010/04/01(木) 21:55:52

「普通のユーザ」は、
「普通のドメインユーザ」、
「ドメイン参加用専用のユーザ」
は、「普通のドメインユーザとして
作ったユーザ」で、ドメイン参加の
権限を割り当てたり、
ローカルログオン
などの権限をはずしておくなり？

ドメイン参加作業自体は、ローカルの
管理者などでないとできないのかも。

**名無し~3.EXE** · 2010/04/01(木) 23:21:45

ドメインへログインしっぱなし（数ヶ月立ち上げっぱなし）のPCの場合、
そのPCの時間の同期はどのタイミングでおこなうのでしょうか。
どこの設定でおこなっているのでしょうか。
教えてください。

**名無し~3.EXE** · 2010/04/02(金) 02:11:04

>>622
初期値で2^6～2^15secの間隔で同期して段階的に長くなっていったと思う
W32TimeのRegで調整できたかと。

**名無し~3.EXE** · 2010/04/02(金) 11:18:19

Network Configuration Operatorsに所属させたいユーザがいるんだけど
ActiveDirectoryのコンソールのBuiltinにないのです・・・
2000サーバーだからなのか不明ですが
何か良い方法はないでしょうか。

**名無し~3.EXE** · 2010/04/11(日) 09:12:15

共有フォルダ配下のフォルダにアクセスベースの列挙を設定しています
権限は一般ユーザーの一部の人をフルコントロールにしました

しかしその結果、アクセス権限の無いはずのユーザーにもフォルダが見えてしまっている状態です
domain usersをadministratorsグループに入れてるからかなぁ

**名無し~3.EXE** · 2010/05/12(水) 14:11:32

かなぁじゃねーよｗ

**名無し~3.EXE** · 2010/05/15(土) 23:04:34

100台ぐらいのクライアント(XP)をWORKGRUOPから
Win2008のADにmoveuserで移行した
>>526あたりの書き込みが参考になったので
そのほか分かったことを追記

Error5で移行できない場合
移行するアカウントでログオンして
インターネットのプロパティから一時ファイル、cookieとか削除
ゴミ箱を空にして再起動したら、エラー解決した端末が多数あった

デブは使えない
作業が遅い、指示したとおりに動かない、いらんことする
本当に使えない

**名無し~3.EXE** · 2010/05/30(日) 18:58:44

・ログインキャッシュしたユーザってキャッシュを使わずにログインしたユーザと
内部で持っているステータス（ヒープ領域のサイズなど）が違ったりするんでしょうか？

**名無し~3.EXE** · 2010/06/08(火) 20:24:40

どなたか助けて頂けないでしょうか。

ADのアカウント・グループを一覧で
調べないといけない事情が出来ました。

なんらかのツールかバッチ等が
ありましたら、教えてください。

ちなみにOSはWindows2008サーバです。

**名無し~3.EXE** · 2010/06/12(土) 01:09:50

net user
net group

**名無し~3.EXE** · 2010/07/06(火) 01:00:39

申し訳ない、質問させてください。
FreeBSD でサーバは、立てることは出来ますが、Windwos サーバはほとんど無知です。
どういう場所かというと、高校の実習室です。

状況説明
ADで構成され、閉ざされた環境のネットワークが、２つ在ります。
その２つ用に、2台のサーバーを作りました。（構成は、まったく同じ）
Apache(Webサーバ)
Ftpd(Ftpサーバ)
tinydns（DNSサーバ）
postfix（メールサーバ）

単にクライアントのDNS設定だけ、いじり　メール実習やWeb実習をするするつもりでしたが。
実際につないで見ると、うまくいかず。

**631** · 2010/07/06(火) 01:01:25

１つ目のネットワーク
Windows2000サーバが２つ入っている。
つなぐと、使えるけど、AD環境へのログオンが遅いのと、移動プロファイルにエラーがでる。

2つ目のネットワーク
Window2003サーバとWindowNTサーバ
AD環境へのログオンが、めちゃくちゃ遅い、40から50秒くらい。
FreeBSDのDNSが、使えていない。
ここのFreeBSDのDNSで、ドメインを　hoge.ed.jp と設定しているのに対して、Windows ADドメインは、locate 何とかでした。
クライアントをADでなく、パソコン自体にログオンすると、FreeBSD 設定のDNSは、使えます。

現在考えていることは、
１．FreeBSDのDNS で、Windows server を登録する。
２．FreeBSDのDNSを使わず、Windows server のDNSで、FreeBSD サーバを登録する。
# この場合、現時点では登録の仕方が、わかりません。

特に、ADドメインと違うドメインを登録できるのか。

この１．２．ぐらいで、上記の現象は、解決できるのでしょうか？

明後日が授業なので、ヒントだけでももらえれば、助かります。
実際、Windows の AD をなめていました。どうせ、NetBEUI や NetBIOS を使うので、DNS は、使っていないだろうと。。。ORZ

**名無し~3.EXE** · 2010/07/06(火) 07:40:07

>>632
とにかく動かしたいなら、

WindowsNTは捨てる
ADのDCだけでDNSを動かす
クライアントのDNSサフィックスをADに合わせる

**名無し~3.EXE** · 2010/07/06(火) 09:14:31

>>633
ありがとう。やってみます。
ADドメイン（localhost??）と違うドメインも、使えるのかな？
ここが、一番不安です。

**名無し~3.EXE** · 2010/07/06(火) 18:53:18

>>634
ADは、多分"～～.local"では？
Windows系は全てAD管理
それ以外のDNSが必要なら別途独立で

Windowsクライアント→ADのDNS（～～.local）→フォワーダとか→別途のDNS（～～.ac.jpとか）

で、Windowsクライアントから名前解決は可能

**631** · 2010/07/06(火) 19:48:39

とりあえず設定して今戻ってきた、明日の授業はどうにかなりそうです。
＞１つ目のネットワーク
＞Windows2000サーバが２つ入っている。
の方は、windows server のDNSを設定することで解決した。
ありがとう。

でも、２つ目のネットワークの方は、うまくいかない。
>>635 のいうように
＞"～～.local"
だった。

現在のADのサービスは、残したまま、新たにサービスを追加する方法が見つからず、かえって来ました。

＞Windowsクライアント→ADのDNS（～～.local）→フォワーダとか→別途のDNS（～～.ac.jpとか）
これ、ごめん無知でよく分からない。クライアント側を設定するの？

とりあえず、クライアント側の「hosts」に、書き込んで、名前解決を試みたが。
ADでログオンしても、ping で打つとうまく名前解決できていたが。
IE で、見るとだめ。時間切れでしっかりと確認してはいないけど、どうもプロキシが刺さっているみたい。

それとメールのほうも、名前解決が出来ても、hosts では、メールサーバだと、明示できないよなと思ってしまった。

引き続き、ヒントもらえると助かります。

**名無し~3.EXE** · 2010/07/06(火) 21:06:49

>>636
クライアントの設定
　DNS参照先
　　ADのDNSサーバIPアドレス
　DNSサフィックスの追加リスト
　　～～.local（ADのドメイン）
　　～～.ed.jp（もう一つのやつ）

ADのDNSサーバの設定
　DNSルート（.）があったら削除
　フォワーダを有効
　フォワード先に～～.ed.jpのDNSサーバIPアドレスを追加

この辺参考で
http://www.atmarkit.co.jp/fnetwork/rensai/ad04/ad01.html

**名無し~3.EXE** · 2010/07/06(火) 23:03:49

>>637
何度もすいません。
フォワーダというのが聞き覚えない言葉で、ぐぐって概要は理解できたものの、どうやって設定するのだろうと、疑問を持っていました。
参考URLで理解できました。

明日にでもやってみますが、迷惑ついでに「クライアント設定」も必要あるのでしょうか？
もしよろしければ、解説いただければと思い。

**名無し~3.EXE** · 2010/07/06(火) 23:18:33

>>638
ADに参加するWindowsクライアントはADのDNSを参照するようにした方が
何かとトラブルが少ない
工夫すればなんとでもなるけど

**名無し~3.EXE** · 2010/07/07(水) 00:36:48

>>639
ありがとうございました。いろいろと試してみます。
本当にありがとう。

**名無しさん＠そうだ選挙に行こう** · 2010/07/10(土) 12:39:34

保守

**名無し~3.EXE** · 2010/07/16(金) 23:15:31

クライアント環境のドメイン移行についてお聞きします。

無難なのがプロファイル移行

**名無し~3.EXE** · 2010/07/16(金) 23:21:02

なんだと…

**名無し~3.EXE** · 2010/08/02(月) 06:54:23

ＯＵの制御の委任を解除するにはどうしたらよいでしょうか?

**名無し~3.EXE** · 2010/09/17(金) 23:51:07

OUのACLから追加したユーザを抜く

**名無し~3.EXE** · 2010/09/18(土) 00:31:04

追加したユーザをOUのACLから抜く

**名無し~3.EXE** · 2010/10/10(日) 16:49:50

2000から2008へのAD移行を考えています。
ADに触ったことは少しありますが、移行は初めてです。
そこで参考書を買おうと思うのですが、以下の本を読めば移行方法などは載ってますかね？

http://ec.nikkeibp.co.jp/item/books/A04600.html

また、参考になる本、サイトなどがあれば教えていただければ嬉しいです。
よろしくお願いします。

**名無し~3.EXE** · 2010/10/10(日) 22:01:01

>>647
ttp://primeserver.fujitsu.com/primergy/technical/construct/#ad01

その参考書には具体的な移行に関する記述はないんじゃないの。
概要くらいは書いてあるかも知れないが。目次にもアップグレードしかないし。

**名無し~3.EXE** · 2010/12/05(日) 21:35:10

Exchange Serverスレッドですよん（；；）
http://hibari.2ch.net/test/read.cgi/win/1049567372/

Windows Server 2008／2008R2 Part2
http://hibari.2ch.net/test/read.cgi/win/1268134563/

Small Business Server 2000/2003のスレ
http://hibari.2ch.net/test/read.cgi/win/1157930777/

Windows Home Server その10
http://hibari.2ch.net/test/read.cgi/win/1284795029/

Windows Server 2003/2008をデスクトップOSに 9
http://hibari.2ch.net/test/read.cgi/win/1245235559/

**名無し~3.EXE** · 2010/12/08(水) 12:22:34

AD+ローカルDNSが設定されたドメインがあります。
サーバーはWin2000で、かつて実機がハード故障でトラブルを起こしたとき、
そのままの構成でVMwareのクライアントに移動して稼動しています。

ユーザーも多くなく、どうしても必要な共有ポリシーもありません。2008の購入予定もありません。
リソースの共有等についてはsamba共有等で足りているので、そろそろADの使用を終了したいのです。
とはいえ、ADのサーバーを停止すると、当然ユーザーのデスクトップへのログイン認証ができなくなります。
そうしたトラブルを最小限に、ADの使用を円滑に終了させるためのノウハウはないでしょうか。
MSのサイトからは、この種の知見が得られないので、よろしくお願いします。ポインターでもかまいません。

**名無し~3.EXE** · 2010/12/08(水) 20:29:03

PCローカルにユーザ作って
moveuserコマンドで
PC上のユーザプロファイルの所有者を
ドメインユーザからPC上のローカルユーザへ変更するのはどうでしょうか。

**名無し~3.EXE** · 2010/12/09(木) 11:20:36

>>651
moveuserを使う場合、１台ごとに作業しなければいけないですよね。
各ユーザーが全て自分でできて、結果の責任もとってくれるならいいんですが。
おそらく、一つ一つのPCにAdministratorが入って作業しなければならなくなります。
できればそれは勘弁してほしい、最後の手段としておきたいと思っています。
というか、それをするくらいだったら、現状維持しようと考えているので。

ドメインからワークグループへのダウングレードって、需要はないんですかね。
ADやLDAPなどのパスワード認証サーバによる管理が必要な状況はわかりますが、
現在の規模では、VNCやRDPが使えたり、SMBでの共有ができれば問題ないので、
MSのサポートが終了したWin2000Serverを、これだけのため使い続けたくないのです。

**名無し~3.EXE** · 2010/12/09(木) 16:56:29

dccpromoで出来ないの？

**名無し~3.EXE** · 2010/12/09(木) 19:29:10

sambaでも何でも、ワークグループ環境で読み書きできるアクセス権の共有作って、
期限切って必要なデータは各自コピーさせれば良いだろ。期限が来たらDCそのまま止めて終わりだよ。

どうせユーザも少ないんだろうしEveryoneフルにして、DC停止後のユーザなんて好きにさせればいい。
最低限adminで所有権奪取すればアクセス権なんていくらでも書き換えられるんだから。
そうも行かない事情があるなら、そのくらい自分で考えたらいい。

**名無し~3.EXE** · 2010/12/15(水) 19:41:13

Windows転送ツールとか使えるのかな

**名無し~3.EXE** · 2010/12/20(月) 13:09:42

Windows2000 Serverを無意味で使ってる人集合！
http://hibari.2ch.net/test/read.cgi/win/1100312681/

**名無し~3.EXE** · 2010/12/27(月) 14:29:42

2008 R2グループポリシー
コンピュータの構成で、データソースに追加した設定が、
管理ツールのODBCに反映されません。
クライアントはWin7で、GroupPolicy EventID:4098が出ています。

ログには「0x80004005 エラーを特定できません」となっていて、
このコードは権限不足だというところまでは調べたのですが、
権限を付与するにはどうすればいいのでしょうか。

**名無し~3.EXE** · 2011/01/23(日) 23:40:10

ADのGPを使い、時間でユーザアカンントをロックするようにし、PCに再度ログイン
するにはそのユーザのパスワードが必要に設定しました。
管理者が強制的にそのPC上のユーザのロックを解除するにはどうすれば
よいのでしょうか。
AD上でそのユーザのアカウントのロックをみたらロックにチェックは
はいておりません。
よろしくお願いします

**名無し~3.EXE** · 2011/01/24(月) 08:24:15

>>658
アカウントロックと画面のロックがごちゃごちゃになってる気がする。

**名無し~3.EXE** · 2011/01/24(月) 23:45:27

ありがとうございます。
画面のロックです。
強制的に管理者ユーザーでログインすると、事前にロックしていたユーザ
はログオフし事前に起動していたAPLは終了するので、何とか
よい方法をとおもったが、やはり無理か.....

**名無し~3.EXE** · 2011/01/25(火) 09:30:35

パスワード変えればいいじゃない
いいじゃない

**名無し~3.EXE** · 2011/01/26(水) 21:47:49

Terminal Serviceとかだと、セッションの管理方法を　ユーザとの対話　と　ユーザの監視　とかで選べた気がするけど、
その辺のオプションってActive Directoryにもあるのかなー‥。

あまり需要がない気もするけど。

**名無し~3.EXE** · 2011/02/19(土) 12:13:57

Win2003R2 AD上のセキュリティGrの項目にある、電子メールのパラメータに
メールアドレスを入れたいのですが、コマンドなどで自動で入力する方法が
あったら教えてください。

dsmod group、dsadd groupだとオプションコマンドが無いようです。
何か方法論だけでもいいので、お願いします。

**663** · 2011/02/19(土) 13:38:21

自己レスです。
どうやらVBScriptで組めば、属性直撃で変更できることがわかりました。
まだ細かく作りこんでいませんが、簡易でmail属性に情報を入力できました。

こちら参考にしたリンクです。
ttp://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=39095&forum=6

お騒がせしました。

◆3JIWgZVTYs · 2011/06/03(金) 01:54:43.87

ＡＤサーバ（WindowsServer2003）、クライアントＰＣ（WindowsXP(SP3)、IE8）
という環境で、会社内の情報系ＰＣの管理をしています。
クライアントＰＣのＩＥのプロキシサーバの設定をＡＤのグループポリシーで
やっています。
あるユーザが
ＩＥの「インターネットオプション」→「詳細設定」→「リセット」を
実行したところ、プロキシの設定が外れてしまいました。
「クライアントのリセットボタンの方がグループポリシーより優先なのか？？」
と調べてみたところ、
Microsoftのサポートページ（http://support.microsoft.com/kb/923737/ja）
に解説があり、この点は理解できました。

◆3JIWgZVTYs · 2011/06/03(金) 01:58:22.46

（続き）
問題はこの状態の修復です。
上記ページの説明に従い、クライアント側のグループポリシーエディタで
修復しようとしたのですが、ＧＰエディタの画面に該当する設定項目が
表示されません。
具体的には「コンピュータの構成」→「管理用テンプレート」の下には、
「Windows Components」と「Windowsコンポーネント」の２つしかありません。
この現象が確認できたのは、今のところ、このユーザが使用している機種
（NEC MY30Y/G-G）だけです。
他の機種で実験してみたところ、プロキシの設定が外れるところも再現し、
ＧＰエディタも「管理用テンプレート」の下に「Windows コンポーネント」
「システム」「ネットワーク」「プリンタ」の４つが表示されるので、
サポートサイトの指示通りに修復できました。

◆3JIWgZVTYs · 2011/06/03(金) 01:59:28.07

（続き）
長くなりましたが、当該機種のＧＰエディタに「システム」が表示されない
理由とその修正方法が知りたいです。

よろしくお願いします。

**名無し~3.EXE** · 2011/06/03(金) 10:16:43.95

ユーザーの構成→windowsの設定→接続→プロキシの設定
が探せないのかなと思ってよく読んだら違うのね

テンプレートが削除されてるんじゃないかな？
管理用テンプレート右クリックでテンプレートの追加と削除があるから
system.admを追加すればいいと思うよ

しかしせっかくADあるのになんでクライアントで1台1台設定してるんだろう？

◆3JIWgZVTYs · 2011/06/04(土) 02:14:38.68

しかしせっかくADあるのになんでクライアントで1台1台設定してるんだろう？>668
テンプレート追加で解決しました。
system.admを追加したら、同じものが２つ表示されるなど妙なところはありましたが、
何しろ[Internet Explorer のメンテナンスポリシーの処理] まで辿りつけたので、
ＭＳのサポートの指示通り、これを「有効」にすることでプロキシの設定が
元の通りに戻りました。
大感謝です。ありがとうございました。

＞しかしせっかくADあるのになんでクライアントで1台1台設定してるんだろう？
これは何を指しているのでしょうか？
ＡＤでできることをクライアントごとにやっていることはないつもりです。
気になるところがあったら指摘して頂けると助かります。

今回懲りたので、ＩＥのリセットボタンは押せないようにＧＰを追加しようと
思っています。

◆3JIWgZVTYs · 2011/06/04(土) 02:16:18.63

すみません、コピペをミスりました。
最初の１行は不要です。ｍ（＿＿）ｍ

**名無し~3.EXE** · 2011/07/07(木) 15:41:38.29

ActiveDirectory環境で、ユーザー・グループの設定またはグループポリシーで、
あるユーザーやグループで印刷および外部媒体出力を完全に制限する方法を探しています。

IEのみ印刷禁止などの設定や、
プリンタ追加の制限
といった項目は見つかりましたが、
印刷そのものを禁止するような項目が見当たりません。
外部媒体出力についても同様。

なにかスマートな方法無いですか？

**名無し~3.EXE** · 2011/07/07(木) 21:42:35.69

プリンタにもアクセス権があるのでそれで可能だと思う

**名無し~3.EXE** · 2011/07/10(日) 23:56:48.33

インストールで失敗するんだけど、シューティングが見つからない。
シューティングの場所 or 原因を教えてもらえますか？
Windows Server 2008 R2 Server Core でインストール

[症状]

"Active Directory ドメインサービスをホストするために
ローカルコンピュータを構成しています"

のところで止まる。"."がずっと続いて止まらない。
Server Coreでも、フルインストールでも変わらない。

**名無し~3.EXE** · 2011/07/11(月) 19:55:25.76

実サーバ？仮想化？

例えば、仮想化サーバなどへRDC接続などでうまくいってないんだったら、コンソールから作業してみるとか？

**名無し~3.EXE** · 2011/07/12(火) 06:31:52.66

>>673
追加サービス無しでインストールしてからADを追加するとか

**名無し~3.EXE** · 2011/07/13(水) 21:56:12.32

>>672
補足するなら、ネットワークプリンタか、ローカルプリンタかで設定方法が変わる。

**名無し~3.EXE** · 2011/09/26(月) 15:29:18.98

セキュリティグループにコンピューターアカウント所属させて
コンピューターのグループポリシーの適用ってできないんだっけ？

**名無し~3.EXE** · 2011/09/27(火) 19:54:42.65

>>677
そのセキュリティ・グループが OU に入っていて、
その OU に GPO が何らかの形でリンクされているなら GPO は効く。

**名無し~3.EXE** · 2011/09/27(火) 23:59:16.68

>>678
だよねぇ
セキュリティグループに入れてるのがコンピューターアカウントだけなせいなのかうまく掛からない
ユーザーアカウントの場合はちゃんと動くんだがー

ちなみに環境は2008R2でgpresultしたらセキュリティグループに入ってる表示はあるのに
ポリシーは除外されたわけでもなく表示されない
フィルタでAuthenticated Usersだけだとコンピューターアカウントは含まれないのかな？

**名無し~3.EXE** · 2011/11/15(火) 07:19:15.58

現在DNSにpc1.aaa.ne.jpとなっているIPのPCは、bbb.ne.jpというADに参加するとpc1.bbb.ne.jpになるのでしょうか？
それとも2つのFQDNを持つことになるのでしょうか？

**名無し~3.EXE** · 2011/11/15(火) 09:29:25.12

DNSだけで考えると可能でしょうな

AD参加はOSがwindowsなら１ドメインだけのはず
他のOSは知らん

**名無し~3.EXE** · 2011/11/23(水) 12:13:58.59

電波テロ装置の戦争(始)
魂は幾何学、コピー出来る公安はサリンオウム信者の子供を40歳まで社会から隔離している
オウム信者が地方で現在も潜伏している
それは新興宗教を配下とする公安(慶應卒T)の仕事だ発案で盗聴器を開発したら霊魂が寄って呼ぶ来た
<電波憑依>
スピリチャル全否定なら江原三輪氏、高橋佳子大川隆法氏は、幻聴で強制入院矛盾する日本宗教と精神科
<コードレス盗聴>
2004既に国民20%被害250～700台数中国工作員3～7000万円2005ソウルコピー2010ソウルイン医者アカギ絡む<盗聴証拠>
今年５月に日本の警視庁防課は被害者SDカード15分を保持した有る国民に出せ!!<創価幹部>
キタオカ1962年東北生は二十代で2人の女性をレイプ殺害して入信した創価本尊はこれだけで潰せる<<<韓国工作員鸛<<<創価公明党 <テロ装置>>東芝部品)>>ヤクザ<宗教<同和<<公安<<魂複<<官憲>日本終Googl検索

**名無し~3.EXE** · 2011/11/28(月) 08:50:59.98

Microsoft.NET Framework の machine.config がドメイン参加によって
読み取りすらアクセス拒否されるようになってしまうんですが
何が原因かわかりません・・・ので教えてください。

C:\Windows\Microsoft.NET\Framework\v2.0.50727\CONFIG\machine.config

で、アクセス許可リストには SYSTEM、Administrator、Administrators(Domain Usersが所属) があって、
ログオンユーザはDomain Usersに所属してます。所有者が「所有者が表示できません」になってます。

でも同フォルダの machine.config.default は、ちゃんとアクセスできるという、よくわからない状況です。
UAC関連？

**名無し~3.EXE** · 2011/11/29(火) 01:38:01.60

Administrators(Domain Usersが所属) ？？？

ファイルにDomain Users付けてみたら？

**名無し~3.EXE** · 2011/11/29(火) 16:18:04.12

任意のドメインユーザにローカルPCを好きにさわらせる為に
AdministratorsにDomain Usersを追加してます。

Domain Users つけたらうまく行くんですが、なぜドメイン参加前後でアクセス可/不可の
ファイルができるのか理解できないもので。

**名無し~3.EXE** · 2011/11/29(火) 18:24:03.27

Usersが無いのはなんででしょ
親から継承されてないのかな？
所有権をAdministratorsで継承しなおせばいいんじゃないかと

**名無し~3.EXE** · 2011/12/02(金) 21:29:11.37

プリントサーバ＋AD機能でプリンタを公開してるんですが、
フルカラー/白黒の設定を全ユーザに一括反映させる方法ってありますか？

ようは、カラーと白黒の2種類のプリンタデバイスを公開したいんですが、
基本設定のカラー設定（フルカラー/グレースケール/2色）はクライアント保持のようで
サーバだけ設定しても反映されないという。

**名無し~3.EXE** · 2011/12/03(土) 09:02:52.17

詳細設定の標準設定だったかな

**名無し~3.EXE** · 2011/12/03(土) 22:23:31.48

>>688
おおおおおー、ありがとございます。
やってみます。

**名無し~3.EXE** · 2011/12/08(木) 00:15:06.23

すみません
ズブ素人なのですが
このたび、アクティブディレクトリに携わる部署へ配属となりますた

何かお勉強するに当たって
オススメの良い書籍はありますでしょうか。
ディレクトリに関してはド素人で
サルでも解る程の初心者向けの教科書がありましたら嬉しいです！

どうぞよろしくお願いいたします。

**名無し~3.EXE** · 2011/12/12(月) 20:43:10.87

>>690
深いところ迄知る必要がないならば、@ITとかのWeb上の情報だけで十分だと
個人的には思うんだけどね・・・

**名無し~3.EXE** · 2011/12/13(火) 09:12:05.91

そうだね、ある程度知識を付けて
分からないことは近くの人に素直に聞くのが一番だよ
分からないことが分からないというよりはよっぽどましだと思う

**名無し~3.EXE** · 2011/12/14(水) 11:38:44.49

ActiveDirectory がわかる初歩的書籍はいっぱいあるけど、
運用上発生した問題をいかに解決するかっていう書籍ってないんだよね

実際にはADだけじゃなくネットワーク全般の知識がいるし

**名無し~3.EXE** · 2011/12/14(水) 23:08:31.49

>>693
そういう意味ではActive DirectoryはTCP/IPネットワークの学習にもってこい
という考え方も出来るね。実際

・LDAPサーバ
・Kerberosサーバ
・DNSサーバ
・SMBサーバ
・NTPサーバ

といったものの集合体がActive Directoryな訳で。あとは認証基盤としての
AD上で稼働するアプリ（IISとかExchangeとか）について、徐々に理解を
深めて行けばよいと思う。

**名無し~3.EXE** · 2012/01/04(水) 13:58:22.72

サイトポリシーにプリンタを展開してクライアントに公開してて、
特にサイト移動もしてないし、ネットワークセグメントが変わったわけでもないのに、
クライアントのデフォルト使用プリンタが勝手に変わってしまって困ってます。

何か対処方はあるんでしょうか。

**名無し~3.EXE** · 2012/01/06(金) 13:21:34.32

サイトポリシーってなに？グループポリシーのこと？

ネットワークプリンタの追加とかデフォルト設定とかって昔スクリプトでやってたの思い出した
懐かしいな
今は楽でいいよね

さて、デフォルトが変わる理由だが、

どこかでデフォルト設定が入っている
デフォルトにしたいプリンタが（一時的にでも）削除されている

どのポリシーが当たってるか調べてみるといいと思うよ

**名無し~3.EXE** · 2012/01/06(金) 17:25:46.82

イベントID2092なんていうレア？
なトラブル対応することになりそうなんだけど
これって普通に降格と再昇格でなおるものなの？

聞くところによると節電のためにセカンダリの電源ずっと落としてたとか

**名無し~3.EXE** · 2012/01/29(日) 22:59:20.88

教えてください。
Windows2003のActiveDirectryが2台あり
1台を壊れたので降格したいため、
強制的にFSMO機能を残す側のサーバへ移動させました。
サイトのサイト間とトポロジジェネレータのサーバー名が
降格しようとしているサーバなのですが問題ないのでしょうか。
これって何でしょうか。

**名無し~3.EXE** · 2012/01/30(月) 01:53:15.15

>>698
問題ない

ttp://technet.microsoft.com/ja-jp/library/cc755994(WS.10).aspx
>ISTG Role Ownership and Viability
>
>The ISTG role owner is selected automatically. The role ownership does not change unless:
>・The current ISTG role owner becomes unavailable.

**名無し~3.EXE** · 2012/01/30(月) 21:03:26.28

>>699

ありがとうございます。
やってみます。
助かりました。

**名無し~3.EXE** · 2012/02/01(水) 15:30:25.06

Windows XP ProffesionalのクライアントPCに、USBでプリンタを繋げました。
このプリンタを共有しようと思って、プリンタのプロパティの共有タブを
みると「ディレクトリに表示する」のチェックボックスがありませんでした。
別なプリンタをUSBで繋げても、やはりチェックボックスがありません。
どうやったら、このプリンタを共有できるのでしょうか？

**名無し~3.EXE** · 2012/02/06(月) 21:52:42.98

困りごとがあります。
今、突然CADシステムの運用管理を任されて困ってます。
CADソフトは不定期に不具合等でHotfixやメジャーバージョンアップがあり、
そのたびにクライアントに対し一台一台、
ソフトのインストール作業を行っています。（全部で170～180台ある）
有償ソフト(Criston Precisionなど)を使って安易にサイレントインストールできる方法はあるようですが、
予算の都合上、それらを導入することが困難です。
ログインスクリプトやADの設定等で上手いことサイレントインストールすることはできますかね？
（ログインスクリプトを使う場合は、一般のログインユーザに管理者権限を持たせれば、可能らしいのですが、
社内のセキュリティ規定の都合上、それは避けたいです…。）

※ちなみに、サーバOS はWindows 2003 Serverを使用しています。

よろしくお願いします。

**名無し~3.EXE** · 2012/02/06(月) 22:07:06.32

>>702
「WSUS」「Active Directory」でググれ。ネットワークの構成情報が
ないがここに来ている以上Active Directoryなんだろうし。

「調べても分かりませんでした」は受け付けない。具体的に何を調査
した結果どう分からなかったのかを明確に出来るなら、まぁ考えない
でもない（そんな奴は自分で問題解決するだろうが）。

**名無し~3.EXE** · 2012/02/07(火) 16:53:31.56

マシンに対してならスタートアップで動かせば大抵出来るよね
スクリプトは自分で作ってね