Windows★Active Directoryｽﾚ

[0001 チーママ 04/07/24 18:24 ID:+Mq+S2Wi]

なかったので立てました。
管理者のみなさん、一緒にお話しませんこと？

[0560 名無し~3.EXE 2009/09/18(金) 14:34:16 ID:WpGp3XN4]

>>558
そうです。

>>559
例えば、Excel VBAとかで 他のブックを操作する事が出来ますが、
そのVBA経由の操作は許すが、他のブックを直接開いて編集するような事を制限したい。


例:
共有フォルダ ･･･ A.xls (直接ユーザーに編集して欲しくない)

ローカルPC ･･･ B.xls (VBAを利用しA.xlsのセル情報を更新する)


こんな感じなんですが、無理でしょうか･･･。
更に言うと、ある特定の人だけ、A.xlsのファイルを直接編集できるようにしたい。

[0561 名無し~3.EXE 2009/09/18(金) 19:25:03 ID:uJqczHzV]

B.xlsにパスワードかけて、A.xlsのマクロで触りにいけばいいんじゃない？
A.xlsのNTFSアクセス権で、使うユーザのみに権限与えれば特定ユーザのみ開けるようになるんじゃないかい

まぁ、これは例題に対しての対処療法なので、他のアプリが同じようにできるとは限らないだろうね

アプリ限定で、アクセス制御できるなんてきいたことないわ

[0562 名無し~3.EXE 2009/09/18(金) 19:26:06 ID:uJqczHzV]

A.xlsとB.xlsが逆だった

[0563 名無し~3.EXE 2009/09/21(月) 01:26:05 ID:10zvU91a]

初歩的な質問で申し訳ないのですが、
セキュリティグループで、ドメインローカルグループやグローバルグループをネストする、っていう解説があるんですが
ネストというのはこの場合どういった意味合いを指しているのでしょうか？

プログラミングだと入れ子といった意味のようですが、
ユニバーサルグループだと
フォレスト内のユーザー、グローバルグループ、ユニバーサルグループをネストするとってのは
上記3つのユーザやグループを一括りのものとして設定（もしくは定義）する、という考え方でいいのでしょうか？

こんな質問をここでしたらいいのかわかりませんが、ネスト自体を当たり前のように書いているHPしか見つからないので
どなたか教えていただければ幸いです……。

[0564 名無し~3.EXE 2009/09/21(月) 02:03:20 ID:8elG9I+e]

そう

[0565 名無し~3.EXE 2009/09/22(火) 06:30:52 ID:vCh9JSCK]

GPOを使用したパソコンへのアクセス制限について教えてください。
以下の場合を想定しています。
１．特定（管理者）グループのみのドメインコントローラへのアクセス
２．クライアントPCに自分のアカウント以外でのアクセス拒否
３．信頼関係のあるドメインからのログインアクセス拒否
　　（PCがAドメインに属している場合、信頼関係のあるBドメインユーザーの拒否）

この時のログインに使用するアカウントはドメインアカウントを指します。
わかりやすく説明してあるサイトがありましたら教えてください。
また、このあたりが出題範囲になるようなMCPの資格本を勉強したいのですが
どれか分かりますでしょうか？（70-290とか）

[0566 名無し~3.EXE 2009/10/01(木) 01:28:18 ID:41yK+c2u]

>>565
そこまで状況を限定した内容について書いている本など無い
まずGPO以前にグループポリシーのネストについて勉強して、
クライアントPCに対して限定的に制限を設定する方法を勉強する

その上で、GPOがどのような順位で優先的に適用されていくか
（AD上のドメイン<サイト<親OU<子OU<PC内ローカルルール）
をしっかりと理解し、どこにGPOをリンクさせるかを検討しなければならないが、
実際のところは実機なり仮想環境なりでシミュレートを行ってそれが正しく適用されるか
試してみるのが一番理解できる

本については、2003 Serverでは少なくとも赤本では無理
2003 Serverなら最低限R2対応の解説書（俺の知る限りSP2に対応した書籍は無い）か、
もしくは2008のAD関連の参考書を立ち読みでもして、
自分の求めている説明に近いことが解説されている本で勉強する以外無いと思われる

[0567 名無し~3.EXE 2009/10/05(月) 16:18:46 ID:jYXcerAW]

ASP.NETでUser.Identity.NameでログインユーザーIDとドメインは取得できますが
パスワードは取得できないでしょうか？
セキュリティがらみで無理だとは思うのですが、そこをなんとか取得
できないものでしょうか？

[0568 名無し~3.EXE 2009/10/05(月) 17:53:24 ID:lA/Qywxr]

キーロガーでも組み込むしかないのでは。

[0569 名無し~3.EXE 2009/10/05(月) 18:01:43 ID:jYXcerAW]

>>568
なかなかいいですね！

[0570 名無し~3.EXE 2009/10/05(月) 18:08:33 ID:lA/Qywxr]

おいおい・・・・。

[0571 名無し~3.EXE 2009/10/05(月) 21:51:12 ID:flRiWzb8]

エクスプローラでマイネットワークからサーバが表示されないPCがある
なんでかわからん
ファイアーウォール関係ある？

[0572 名無し~3.EXE 2009/10/05(月) 22:04:28 ID:n2dPt7OU]

関係あるに決まってるだろ

[0573 名無し~3.EXE 2009/10/09(金) 00:22:01 ID:kJ64I6d7]

Hyper-VゲストにDCおいて、Hyper-Vホストのドメイン参加ってできるのな。
しらねかったよ。ホストにHyper-Vのエラー出るけどしばらく様子見してる。

[0574 名無し~3.EXE 2009/10/09(金) 00:33:03 ID:2oZ6mESf]

できない理由が思いつかないけど
どんなエラーでるの？

[0575 573ですよ 2009/10/09(金) 17:49:29 ID:kJ64I6d7]

Hyper-V-VMMS　サービスプリンシパル名を登録できませんでした。
と、でるんですが、起動時だけなのでおそらくスレ違いかなと。
当然起動時にはDCが見当たらない旨のエラーはでるわけで、
その他、時刻の同期についても検討しなければならんかも〜

[0576 名無し~3.EXE 2009/10/13(火) 09:45:41 ID:9KFhQJmE]

ActiveDirectoryのパスワードってパスワードがそのまま保存されているのでしょうか？
あるいは、不可逆なハッシュ値のようなものが保存されているのでしょうか？

[0577 名無し~3.EXE 2009/10/13(火) 10:46:13 ID:Ae8oUBKk]

デフォルトだと平文で保存

[0578 名無し~3.EXE 2009/10/13(火) 10:56:52 ID:9KFhQJmE]

>>577
平文なのですか？なるほど。それなら取り出せそうですね。

[0579 名無し~3.EXE 2009/10/13(火) 11:43:29 ID:9KFhQJmE]

たびたびすみません。
ActiveDirectoryに登録されているユーザーの属性が変更されたことを
プログラム（ADSI?)から監視してActiveDirectoryからの変更イベントを
通知してもらうようなことはできますか？
それともポーリングするしかないでしょうか？

[0580 名無し~3.EXE 2009/10/13(火) 17:29:46 ID:BnZUB/U4]

>>579
セキュリティポリシーの監査だけでは不足かい？

[0581 名無し~3.EXE 2009/10/13(火) 17:50:47 ID:9KFhQJmE]

>>580
ありがとうございます。
イベントログを監視するということでよいでしょうか？

[0582 名無し~3.EXE 2009/10/13(火) 19:07:26 ID:BnZUB/U4]

>>581
そう。監視する仕組みあるならそれだけでよし。
通知するならプラスeventtriggersでメールかなんか発砲

[0583 名無し~3.EXE 2009/10/13(火) 23:40:25 ID:NxFvuQms]

特定のPCだけに自作の弁当注文アプリをインストールさせるにはどうすりゃいい？

[0584 名無し~3.EXE 2009/10/14(水) 08:20:23 ID:bQ4pn4PY]

>>582
ありがとうございます。ちょっと試してみます。

[0585 名無し~3.EXE 2009/10/14(水) 14:17:20 ID:S2Yexsu4]

>>583
ローカルアカウントでログオンしてインストールしろ

[0586 名無し~3.EXE 2009/10/14(水) 18:46:42 ID:fBH1JdCx]

ADと信頼関係を結んだMIT Kerberosがあり、
ログイン時の認証はMIT Kerberosでやって、
ユーザ情報などはADのものを利用したいと考えています。

WindowsだとADのドメインに参加させた後に、
MIT KerberosのKDCをksetupで登録したらできたのですが、
同じ事をMACでやる場合はどうすればいいでしょうか？

（MAC版で質問した方がいいでしょうか？）

[0587 名無し~3.EXE 2009/10/14(水) 21:33:35 ID:pVl56qjZ]

問題点にMS製品関係ないだろｗ
売りつけたベンダに聞けよ

[0588 名無し~3.EXE 2009/10/14(水) 22:22:52 ID:kARiv0vS]

>>585
一個一個PCにインストールしなきゃいけないの？

[0589 名無し~3.EXE 2009/10/14(水) 22:40:30 ID:zJazirkg]

>>588
特定って一台かと思った。
でも数台ならローカルアカウントあるいはadminでログオンして入れた方が早いだろ

グループ組んで当該ＰＣ放り込んでグループポリシー作って
ログオンスクリプトかなんかで配るとか？

最近触ってないから自信ない

[0590 名無し~3.EXE 2009/10/14(水) 23:27:25 ID:NVsF7RPg]

>>586

MacOSXをAD参加させて ... ということ？
AD参加まではできている？

AD参加は、AD-DCに凝った設定をしてないく、
手順がわかれば簡単にできると思うけど、
kerberos関連は、Internetでみつからなければ、
以下の書籍などをあたってみては？
（OSXのバージョンによっても、変わるかも）

Mac OS Xシステム管理リファレンス１
ディレクトリサービス、セキュリティ、ネットワーキングとファイルサービス
ttp://www.borndigital.co.jp/book/detail.php?id=84

英文なら、もう少し書籍があるかも（文献が少ない分野かも）。

[0591 586 2009/10/15(木) 08:43:47 ID:dayxlLcB]

>>589

MacのAD参加まではできています。
あとは、/Library/Preferences/edu.mit.kerberosの設定を書き換えて
なんとかできないかなと思っているのですが…。

紹介して頂いた書籍のディレクトリサービスの管理は興味深いですね。

あとは書籍と色々サイトを調べて地道に試していくしかないですかね。

[0592 名無し~3.EXE 2009/10/15(木) 11:24:38 ID:C3BtzlLF]

ActiveDirectoryの代わりにopenLDAPでも統合Windows認証って
できるんですかね

[0593 名無し~3.EXE 2009/10/15(木) 11:47:08 ID:RJaSNzR2]

まともに動かないよ。
サポートしてくれるとこがないならやめといた方が無難。

[0594 名無し~3.EXE 2009/10/15(木) 11:59:38 ID:C3BtzlLF]

>>593
了解しました！

[0595 名無し~3.EXE 2009/11/11(水) 20:22:29 ID:Jw+LaSXg]

Active Directoryのテスト環境を作りましたが、不明点がありまし

■サーバ
OS:2008
ホスト名:SRV01
ドメイン名:test.local
IPアドレス:192.168.0.10/24(static)
役割：
・ADDS
・DHCPサーバ(スコープ範囲192.168.0.11〜20)
・DNSサーバ(AレコードにSRV01=192.168.0.10のみ登録)

上記ドメインにXP-Proのホスト名「XP01」というコンピュータを参加させました。
IPアドレスはDHCPで取得し、192.168.0.11が割り振られました。

DNSの前方参照を見ても、サーバのAレコードは登録されていますが、
勿論XP01=192.168.0.11なんて情報は登録されていません。

この場合、XP01が192.168.0.11であるという情報はどこに登録されているのでしょうか？
DHCPクライアントなので192.168.0.11から変更になった場合でも、
>nslookup XP01
で
192.168.0.15(例)
などのように変化するアドレスに対応できなければいけません

初歩的な質問ですみませんが、どなたかご教授くださいませ

[0596 名無し~3.EXE 2009/11/11(水) 21:06:01 ID:OB6kW7fK]

>>595
まずは2003の話でごめんって謝っとく。

んで、普通にドメインに参加した状態ならDNSの前方参照に登録されるはずだよ？
XP側の設定でTCP→DNSタブでこの接続をDNSの登録に使うとかいうチェックボックスはONになってる？

なってるようならipconfig /registerdnsをクライアント側で実行
DNSの登録情報をF5連打でどぉ？

[0597 名無し~3.EXE 2009/11/12(木) 06:27:23 ID:/VsKt9sR]

>>596

ありがとうございます！
早速試してみますね

[0598 名無し~3.EXE 2009/11/16(月) 11:11:09 ID:iV9sn7/w]

「ログオン時間の有効期間が切れたときに実行するアクションを設定する」というポリシーについて
教えてください。

DC Windoes Server 2008R2
クライアント Windows 7 x64 ultimate

DCにて、強制ログアウトというGPOを作り、ユーザーの構成、管理用テンプレート、Windowdコンポーネント、
Windowsログオンのオプション、「ログオン時間の有効期間が切れたときに実行するアクションを設定する」を
有効にして、アクションにロックを選択しました。

次に、ユーザtestのプロパティのログオン時間でログオン拒否の時間帯を設定しました。

クライアントマシンにtestでログオンして、ログオン拒否の時間になると、強制的にロックされるという
動作を期待しているのですが、働かない場合があります。

最初にはまったのは、クライアントマシンにてAD\testユーザに管理者権限を与えた場合にアクションが
無効になっていました。これは考えてみたら、当たり前の話ですね。
クライアントマシンに問題のユーザの管理者権限が無い状態にして、ドメインのユーザー権限もDomain
Usersにしてあると、一見正常に動いているように見えたのですが、他のマシンやユーザで強制ログアウトが
働かない場合があります。

正常に働かないマシンにて、問題のユーザでgpresult -vを見たら、ポリシーに関しては設定されていることを
確認してあります。他にこのポリシーが働かなくなる条件があるのでしょうか。

[0599 名無し~3.EXE 2009/11/17(火) 03:19:51 ID:/EQ/Ifbd]

パソコンがAD配下にありDHCPとWINSが複数あるんだけど、
インターネット閲覧が遅いと思って何気なくipconfigを
数分毎にやってみるとWINSのプライマリとセカンダリが
時々入れ替わってる。この間パソコンのリブートは無し。
パソコンが遅い理由はさておき、この入れ替わるというのは
何かの条件で起こるものなんでしょうか？
サーバー管理者は設定変更してないって言ってるんですが。

[0600 名無し~3.EXE 2009/11/17(火) 16:59:04 ID:AtSP+uWu]

>>599
管理者にお尋ねください

[0601 sage 2009/11/18(水) 01:15:41 ID:rC5jOgT3]

>>599
エスパーじゃないので推測に過ぎないが
・DHCPサーバが複数台ある(冗長化されている)
・DHCPサーバのDHCPオプション設定でWINSサーバの優先順位が1台目と2台目で逆に設定されている
・複数台のDHCPサーバは同じ物理的距離に在りどちらが払い出すかはタイミング次第

[0602 名無し~3.EXE 2009/12/22(火) 23:06:24 ID:8Tt3lpNX]

http://technet.microsoft.com/ja-jp/activedirectory/default.aspx

[0603 名無し~3.EXE 2010/02/19(金) 23:43:35 ID:cMmJ5IuK]

2003Enterprise Edition(R2では無いです。)
ADのフォルダリダイレクトの設定でファイルサーバ上にリダイレクトしてて
設定を「ユーザーに <フォルダ名> に対して排他的な権限を与える」を有効にしてた場合ですが
そのデータを別サーバに複製しようとしても出来ないですよね？
複数人のこういったリダイレクトされたデータを
ファイルサーバが壊れたときのために複製したいんですが
排他的な権限を与えAdmin権限をもってしてもアクセス権が無い状態では
無理な話なのでしょうか？

[0604 名無し~3.EXE 2010/02/20(土) 00:31:32 ID:mFSXx5jB]

Backup Operators権限でレプリケートの動作をするようなアプリを使えばよろし。
まぁ、具体的にそんなアプリを見たり調べたことがあるわけでもないが。
手間暇掛けられるんならntbackupとかでバックアップとってリストアするのはできるでしょ。

[0605 名無し~3.EXE 2010/02/25(木) 18:17:53 ID:BRxKrGPH]

☆関連スレ



Windows Server 2008／2008R2
http://pc12.2ch.net/test/read.cgi/win/1232512417/

Exchange Serverスレッド
http://pc12.2ch.net/test/read.cgi/win/1049567372/

[0606 名無し~3.EXE 2010/02/26(金) 08:56:19 ID:+azOeRLW]

☆関連板

自宅サーバ＠2ch掲示板
http://pc11.2ch.net/mysv/

[0607 名無し~3.EXE 2010/03/07(日) 20:28:17 ID:NNozUP6B]

リソースキット買ったんですが…
何か日本語読みにくい気がするのは気のせいだろうか

[0608 名無し~3.EXE 2010/03/10(水) 06:49:25 ID:DBu/JM3A]

☆関連スレ


Windows Server 2008／2008R2 Part2
http://pc12.2ch.net/test/read.cgi/win/1268134563/

Small Business Server 2000/2003のスレ
http://pc12.2ch.net/test/read.cgi/win/1157930777/

[0609 名無し~3.EXE 2010/03/15(月) 11:45:57 ID:GPH5wh8K]

ADのサーバ一台を処分する際、dcpromo.exeで降格せずにサーバを処分してしまったのですが、
この後AD(2008)から処分したサーバ情報を削除(降格)するにはどうしたら良いのでしょうか？

ググるとadsiedit.msc(http://support.microsoft.com/default.aspx?scid=kb;ja;216498)
が出てくるのですが、ここには、
「Windows Server 2008 の場合、管理者は Active Directory ユーザーとコンピュータ
スナップインでサーバー オブジェクトを削除することで、サーバー オブジェクトのメタ
データを削除できます。 」
とあります。
これは具体的にはどういうことなのでしょうか・・・・。

[0610 名無し~3.EXE 2010/03/15(月) 12:36:06 ID:Xb/2aGK1]

>>609
もうそれ以上、具体的に説明できないほど具体的です。

書いてあるスナップインでサーバーを右クリックして削除すれば良いと思います・・・。

2003のときはそこで消してもDNSにはちょこちょこ残っちゃったりして困った覚えがあります。

[0611 名無し~3.EXE 2010/03/15(月) 12:40:48 ID:GPH5wh8K]

>>610
なるほど・・・。
そのままサーバ名を消しちゃっていいんですね。
後は必要に応じてADにコンピュータ名登録名とかDNS名を削除する、ってことですね。
ありがとうございます。

[0612 名無し~3.EXE 2010/03/15(月) 12:54:22 ID:NVWhG+Pu]

>>611
ちょっと違う

[0613 名無し~3.EXE 2010/03/15(月) 13:20:19 ID:GPH5wh8K]

>>612
まじっすか！？
消しちゃったよ・・・・。

[0614 名無し~3.EXE 2010/03/26(金) 00:19:39 ID:sGVzR0OS]

すみません、ActiveDirectoryで誰がファイルを削除したとか分かるようにするにはどうすればいいですか？
2008R2なんですが
ファイルをユーザーが削除したかサーバーに問題があってファイルが勝手に消えたか
証明しないといけないんですが。デフォルトの設定だと解析するの無理ですか？

[0615 名無し~3.EXE 2010/03/26(金) 01:12:35 ID:7914yU+I]

オブジェクトアクセスの監査

[0616 名無し~3.EXE 2010/03/26(金) 23:25:38 ID:/fCzM7pK]

AD2003のユーザーアカウントのSIDを
AD2008のユーザーアカウントのSID履歴に追加したい

Windows 2008 64-bit 上で、CUIプログラムで上記を実施したいのですが、
Windows 2003のサポートツールにあった"clonepr.dll"が、
Windows 2008には存在しませんでした。（サポートツール自体がない？）

とりあえず、Windows 2003にあった"clonepr.dll"を使えないか試してみたのですが、
32-bit OS 上だと動作することは確認できたのですが、
64ibit OS 上だとレジストリに登録することすらできませんでした。

DsAddSidHistory(ntdsapi.dll)というのを見つけたのですが、
英語のページしかなく理解できませんでした。

CUIでSID履歴を追加する方法をご存知の方がいましたら、
教えてください。

[0617 名無し~3.EXE 2010/03/28(日) 20:18:45 ID:dYl+ZtUr]

>>616
> CUIでSID履歴を追加する方法をご存知の方がいましたら、

ADMT v3.1

[0618 名無し~3.EXE 2010/03/30(火) 22:18:52 ID:Q8irMTrd]

以下のような場合、ActiveDirectoryに発生する障害について教えてくれ。

社内のActiveDirectoryを管理しているサーバ名が『Server01.company.jp』だとする。
DNSサーバーも、上記サーバーのIPアドレスだとする。

このネットワークに、クライアント『Server01.company.jp』を乱入させたら、どんなシステム障害が出る？
（ドメインコントローラの名前とクライアント名が重複している）

[0619 名無し~3.EXE 2010/04/01(木) 21:28:05 ID:owO6d5Ym]

ActiveDirectoryの参加方法に関して質問。

クライアントからＡＤに参加するときに『サーバーのDomain管理者』のユーザー名とパスワードを入力するよう催促されるよな？
となると、数十台のＰＣを追加した場合、
Domain管理者がクライアント1台1台にAdministratorのユーザー名とパスワードを入力せにゃならんの？
それって無駄じゃね？

[0620 名無し~3.EXE 2010/04/01(木) 21:45:13 ID:SQ0VYN3P]

ADのDCでいじってなければ
普通のユーザでも10台まで
ドメイン参加できたかと。

ユーザが多いんなら、
ドメイン参加専用ユーザ
作って参加権限を割り当てたり
他の権限をはずしたり？

どういうはずし方がよい？

専用のユーザで作業するように
しておけば、ドメイン参加、非参加、
再参加などでコンピュータアカウント
作成関連の権限の問題にも
ぶつからずに済む。

専用ユーザで作業してない場合、
administratorでの作業が必要に
なりやすい？

コンピュータアカウントを
プレステージングする時も
専用ユーザを使うのが吉？

[0621 名無し~3.EXE 2010/04/01(木) 21:55:52 ID:SQ0VYN3P]

「普通のユーザ」は、
「普通のドメインユーザ」、
「ドメイン参加用専用のユーザ」
は、「普通のドメインユーザとして
作ったユーザ」で、ドメイン参加の
権限を割り当てたり、
ローカルログオン
などの権限をはずしておくなり？

ドメイン参加作業自体は、ローカルの
管理者などでないとできないのかも。

[0622 名無し~3.EXE 2010/04/01(木) 23:21:45 ID:+yn9eAIZ]

ドメインへログインしっぱなし（数ヶ月立ち上げっぱなし）のPCの場合、
そのPCの時間の同期はどのタイミングでおこなうのでしょうか。
どこの設定でおこなっているのでしょうか。
教えてください。

[0623 名無し~3.EXE 2010/04/02(金) 02:11:04 ID:mwTp4P+Z]

>>622
初期値で2^6〜2^15secの間隔で同期して段階的に長くなっていったと思う
W32TimeのRegで調整できたかと。

[0624 名無し~3.EXE 2010/04/02(金) 11:18:19 ID:THr1YKm0]

Network Configuration Operatorsに所属させたいユーザがいるんだけど
ActiveDirectoryのコンソールのBuiltinにないのです・・・
2000サーバーだからなのか不明ですが
何か良い方法はないでしょうか。

[0625 名無し~3.EXE 2010/04/11(日) 09:12:15 ID:fMh/paBL]

共有フォルダ配下のフォルダにアクセスベースの列挙を設定しています
権限は一般ユーザーの一部の人をフルコントロールにしました

しかしその結果、アクセス権限の無いはずのユーザーにもフォルダが見えてしまっている状態です
domain usersをadministratorsグループに入れてるからかなぁ

[0626 名無し~3.EXE 2010/05/12(水) 14:11:32 ID:GjvLCwRi]

かなぁじゃねーよｗ

[0627 名無し~3.EXE 2010/05/15(土) 23:04:34 ID:C2vDLku9]

100台ぐらいのクライアント(XP)をWORKGRUOPから
Win2008のADにmoveuserで移行した
>>526あたりの書き込みが参考になったので
そのほか分かったことを追記

Error5で移行できない場合
移行するアカウントでログオンして
インターネットのプロパティから一時ファイル、cookieとか削除
ゴミ箱を空にして再起動したら、エラー解決した端末が多数あった

デブは使えない
作業が遅い、指示したとおりに動かない、いらんことする
本当に使えない

[0628 名無し~3.EXE 2010/05/30(日) 18:58:44 ID:5AsopoLz]

・ログインキャッシュしたユーザってキャッシュを使わずにログインしたユーザと
内部で持っているステータス（ヒープ領域のサイズなど）が違ったりするんでしょうか？

[0629 名無し~3.EXE 2010/06/08(火) 20:24:40 ID:o7/wccvb]

どなたか助けて頂けないでしょうか。

ADのアカウント・グループを一覧で
調べないといけない事情が出来ました。

なんらかのツールかバッチ等が
ありましたら、教えてください。

ちなみにOSはWindows2008サーバです。

[0630 名無し~3.EXE 2010/06/12(土) 01:09:50 ID:3dE8DF5s]

net user
net group

[0631 名無し~3.EXE 2010/07/06(火) 01:00:39 ID:PMsPXi4o]

申し訳ない、質問させてください。
FreeBSD でサーバは、立てることは出来ますが、Windwos サーバはほとんど無知です。
どういう場所かというと、高校の実習室です。

状況説明
ADで構成され、閉ざされた環境のネットワークが、２つ在ります。
その２つ用に、2台のサーバーを作りました。（構成は、まったく同じ）
Apache(Webサーバ)
Ftpd(Ftpサーバ)
tinydns（DNSサーバ）
postfix（メールサーバ）

単にクライアントのDNS設定だけ、いじり　メール実習やWeb実習をするするつもりでしたが。
実際につないで見ると、うまくいかず。

[0632 631 2010/07/06(火) 01:01:25 ID:PMsPXi4o]

１つ目のネットワーク
Windows2000サーバが２つ入っている。
つなぐと、使えるけど、AD環境へのログオンが遅いのと、移動プロファイルにエラーがでる。

2つ目のネットワーク
Window2003サーバとWindowNTサーバ
AD環境へのログオンが、めちゃくちゃ遅い、40から50秒くらい。
FreeBSDのDNSが、使えていない。
ここのFreeBSDのDNSで、ドメインを　hoge.ed.jp と設定しているのに対して、Windows ADドメインは、locate 何とかでした。
クライアントをADでなく、パソコン自体にログオンすると、FreeBSD 設定のDNSは、使えます。

現在考えていることは、
１．FreeBSDのDNS で、Windows server を登録する。
２．FreeBSDのDNSを使わず、Windows server のDNSで、FreeBSD サーバを登録する。
# この場合、現時点では登録の仕方が、わかりません。

特に、ADドメインと違うドメインを登録できるのか。

この１．２．ぐらいで、上記の現象は、解決できるのでしょうか？

明後日が授業なので、ヒントだけでももらえれば、助かります。
実際、Windows の AD をなめていました。どうせ、NetBEUI や NetBIOS を使うので、DNS は、使っていないだろうと。。。ORZ

[0633 名無し~3.EXE 2010/07/06(火) 07:40:07 ID:nJHg2Ev6]

>>632
とにかく動かしたいなら、

WindowsNTは捨てる
ADのDCだけでDNSを動かす
クライアントのDNSサフィックスをADに合わせる

[0634 名無し~3.EXE 2010/07/06(火) 09:14:31 ID:PumEwsBI]

>>633
ありがとう。やってみます。
ADドメイン（localhost??）と違う ドメインも、使えるのかな？
ここが、一番不安です。

[0635 名無し~3.EXE 2010/07/06(火) 18:53:18 ID:nJHg2Ev6]

>>634
ADは、多分"〜〜.local"では？
Windows系は全てAD管理
それ以外のDNSが必要なら別途独立で

Windowsクライアント→ADのDNS（〜〜.local）→フォワーダとか→別途のDNS（〜〜.ac.jpとか）

で、Windowsクライアントから名前解決は可能

[0636 631 2010/07/06(火) 19:48:39 ID:PumEwsBI]

とりあえず設定して今戻ってきた、明日の授業はどうにかなりそうです。
＞１つ目のネットワーク
＞Windows2000サーバが２つ入っている。
の方は、windows server のDNSを設定することで解決した。
ありがとう。

でも、２つ目のネットワークの方は、うまくいかない。
>>635 のいうように
＞"〜〜.local"
だった。

現在のADのサービスは、残したまま、新たにサービスを追加する方法が見つからず、かえって来ました。

＞Windowsクライアント→ADのDNS（〜〜.local）→フォワーダとか→別途のDNS（〜〜.ac.jpとか）
これ、ごめん無知でよく分からない。クライアント側を設定するの？

とりあえず、クライアント側の「hosts」に、書き込んで、名前解決を試みたが。
ADでログオンしても、ping で打つとうまく名前解決できていたが。
IE で、見るとだめ。時間切れでしっかりと確認してはいないけど、どうもプロキシが刺さっているみたい。

それとメールのほうも、名前解決が出来ても、hosts では、メールサーバだと、明示できないよなと思ってしまった。

引き続き、ヒントもらえると助かります。

[0637 名無し~3.EXE 2010/07/06(火) 21:06:49 ID:nJHg2Ev6]

>>636
クライアントの設定
　DNS参照先
　　ADのDNSサーバIPアドレス
　DNSサフィックスの追加リスト
　　〜〜.local（ADのドメイン）
　　〜〜.ed.jp（もう一つのやつ）

ADのDNSサーバの設定
　DNSルート（.）があったら削除
　フォワーダを有効
　フォワード先に〜〜.ed.jpのDNSサーバIPアドレスを追加

この辺参考で
http://www.atmarkit.co.jp/fnetwork/rensai/ad04/ad01.html

[0638 名無し~3.EXE 2010/07/06(火) 23:03:49 ID:PMsPXi4o]

>>637
何度もすいません。
フォワーダというのが聞き覚えない言葉で、ぐぐって概要は理解できたものの、どうやって設定するのだろうと、疑問を持っていました。
参考URLで理解できました。

明日にでもやってみますが、迷惑ついでに「クライアント設定」も必要あるのでしょうか？
もしよろしければ、解説いただければと思い。

[0639 名無し~3.EXE 2010/07/06(火) 23:18:33 ID:nJHg2Ev6]

>>638
ADに参加するWindowsクライアントはADのDNSを参照するようにした方が
何かとトラブルが少ない
工夫すればなんとでもなるけど

[0640 名無し~3.EXE 2010/07/07(水) 00:36:48 ID:XsIBQ36T]

>>639
ありがとうございました。いろいろと試してみます。
本当にありがとう。

[0641 名無しさん＠そうだ選挙に行こう 2010/07/10(土) 12:39:34 ID:IcrdRRey]

保守

[0642 名無し~3.EXE 2010/07/16(金) 23:15:31 ID:+ASCvStK]

クライアント環境のドメイン移行についてお聞きします。

無難なのがプロファイル移行

[0643 名無し~3.EXE 2010/07/16(金) 23:21:02 ID:GVWcgrF3]

なんだと…

[0644 名無し~3.EXE 2010/08/02(月) 06:54:23 ID:HHLV40Kk]

ＯＵの制御の委任を解除するにはどうしたらよいでしょうか?

[0645 名無し~3.EXE 2010/09/17(金) 23:51:07 ID:SLTggmnx]

OUのACLから追加したユーザを抜く

[0646 名無し~3.EXE 2010/09/18(土) 00:31:04 ID:T8uy7F9V]

追加したユーザをOUのACLから抜く

[0647 名無し~3.EXE 2010/10/10(日) 16:49:50 ID:xgSpkfjs]

2000から2008へのAD移行を考えています。
ADに触ったことは少しありますが、移行は初めてです。
そこで参考書を買おうと思うのですが、以下の本を読めば移行方法などは載ってますかね？

http://ec.nikkeibp.co.jp/item/books/A04600.html

また、参考になる本、サイトなどがあれば教えていただければ嬉しいです。
よろしくお願いします。

[0648 名無し~3.EXE 2010/10/10(日) 22:01:01 ID:yL3TgJQ2]

>>647
ttp://primeserver.fujitsu.com/primergy/technical/construct/#ad01

その参考書には具体的な移行に関する記述はないんじゃないの。
概要くらいは書いてあるかも知れないが。目次にもアップグレードしかないし。

[0649 名無し~3.EXE 2010/12/05(日) 21:35:10 ID:oUc33t6T]

Exchange Serverスレッドですよん（；；）
http://hibari.2ch.net/test/read.cgi/win/1049567372/

Windows Server 2008／2008R2 Part2
http://hibari.2ch.net/test/read.cgi/win/1268134563/

Small Business Server 2000/2003のスレ
http://hibari.2ch.net/test/read.cgi/win/1157930777/

Windows Home Server その10
http://hibari.2ch.net/test/read.cgi/win/1284795029/

Windows Server 2003/2008をデスクトップOSに 9
http://hibari.2ch.net/test/read.cgi/win/1245235559/

[0650 名無し~3.EXE 2010/12/08(水) 12:22:34 ID:CL8NKRH8]

AD+ローカルDNSが設定されたドメインがあります。
サーバーはWin2000で、かつて実機がハード故障でトラブルを起こしたとき、
そのままの構成でVMwareのクライアントに移動して稼動しています。

ユーザーも多くなく、どうしても必要な共有ポリシーもありません。2008の購入予定もありません。
リソースの共有等についてはsamba共有等で足りているので、そろそろADの使用を終了したいのです。
とはいえ、ADのサーバーを停止すると、当然ユーザーのデスクトップへのログイン認証ができなくなります。
そうしたトラブルを最小限に、ADの使用を円滑に終了させるためのノウハウはないでしょうか。
MSのサイトからは、この種の知見が得られないので、よろしくお願いします。ポインターでもかまいません。

[0651 名無し~3.EXE 2010/12/08(水) 20:29:03 ID:Nhpqsl92]

PCローカルにユーザ作って
moveuserコマンドで
PC上のユーザプロファイルの所有者を
ドメインユーザからPC上のローカルユーザへ変更するのはどうでしょうか。

[0652 名無し~3.EXE 2010/12/09(木) 11:20:36 ID:t5RLEPYV]

>>651
moveuserを使う場合、１台ごとに作業しなければいけないですよね。
各ユーザーが全て自分でできて、結果の責任もとってくれるならいいんですが。
おそらく、一つ一つのPCにAdministratorが入って作業しなければならなくなります。
できればそれは勘弁してほしい、最後の手段としておきたいと思っています。
というか、それをするくらいだったら、現状維持しようと考えているので。

ドメインからワークグループへのダウングレードって、需要はないんですかね。
ADやLDAPなどのパスワード認証サーバによる管理が必要な状況はわかりますが、
現在の規模では、VNCやRDPが使えたり、SMBでの共有ができれば問題ないので、
MSのサポートが終了したWin2000Serverを、これだけのため使い続けたくないのです。

[0653 名無し~3.EXE 2010/12/09(木) 16:56:29 ID:c5Bd9ahy]

dccpromoで出来ないの？

[0654 名無し~3.EXE 2010/12/09(木) 19:29:10 ID:yNIFcGhz]

sambaでも何でも、ワークグループ環境で読み書きできるアクセス権の共有作って、
期限切って必要なデータは各自コピーさせれば良いだろ。期限が来たらDCそのまま止めて終わりだよ。

どうせユーザも少ないんだろうしEveryoneフルにして、DC停止後のユーザなんて好きにさせればいい。
最低限adminで所有権奪取すればアクセス権なんていくらでも書き換えられるんだから。
そうも行かない事情があるなら、そのくらい自分で考えたらいい。

[0655 名無し~3.EXE 2010/12/15(水) 19:41:13 ID:eHnqtmel]

Windows転送ツールとか使えるのかな

[0656 名無し~3.EXE 2010/12/20(月) 13:09:42 ID:FsWujbks]

Windows2000 Serverを無意味で使ってる人集合！
http://hibari.2ch.net/test/read.cgi/win/1100312681/

[0657 名無し~3.EXE 2010/12/27(月) 14:29:42 ID:yBoiqlWF]

2008 R2グループポリシー
コンピュータの構成で、データソースに追加した設定が、
管理ツールのODBCに反映されません。
クライアントはWin7で、GroupPolicy EventID:4098が出ています。

ログには「0x80004005 エラーを特定できません」となっていて、
このコードは権限不足だというところまでは調べたのですが、
権限を付与するにはどうすればいいのでしょうか。

[0658 名無し~3.EXE 2011/01/23(日) 23:40:10 ID:+59/OBIw]

ADのGPを使い、時間でユーザアカンントをロックするようにし、PCに再度ログイン
するにはそのユーザのパスワードが必要に設定しました。
管理者が強制的にそのPC上のユーザのロックを解除するにはどうすれば
よいのでしょうか。
AD上でそのユーザのアカウントのロックをみたらロックにチェックは
はいておりません。
よろしくお願いします

[0659 名無し~3.EXE 2011/01/24(月) 08:24:15 ID:ZZsRxfLz]

>>658
アカウントロックと画面のロックがごちゃごちゃになってる気がする。