Windows★Active Directoryスレ
なかったので立てました。 管理者のみなさん、一緒にお話しませんこと? >>558 そうです。 >>559 例えば、Excel VBAとかで 他のブックを操作する事が出来ますが、 そのVBA経由の操作は許すが、他のブックを直接開いて編集するような事を制限したい。 例: 共有フォルダ ・・・ A.xls (直接ユーザーに編集して欲しくない) ローカルPC ・・・ B.xls (VBAを利用しA.xlsのセル情報を更新する) こんな感じなんですが、無理でしょうか・・・。 更に言うと、ある特定の人だけ、A.xlsのファイルを直接編集できるようにしたい。 B.xlsにパスワードかけて、A.xlsのマクロで触りにいけばいいんじゃない? A.xlsのNTFSアクセス権で、使うユーザのみに権限与えれば特定ユーザのみ開けるようになるんじゃないかい まぁ、これは例題に対しての対処療法なので、他のアプリが同じようにできるとは限らないだろうね アプリ限定で、アクセス制御できるなんてきいたことないわ 初歩的な質問で申し訳ないのですが、 セキュリティグループで、ドメインローカルグループやグローバルグループをネストする、っていう解説があるんですが ネストというのはこの場合どういった意味合いを指しているのでしょうか? プログラミングだと入れ子といった意味のようですが、 ユニバーサルグループだと フォレスト内のユーザー、グローバルグループ、ユニバーサルグループをネストするとってのは 上記3つのユーザやグループを一括りのものとして設定(もしくは定義)する、という考え方でいいのでしょうか? こんな質問をここでしたらいいのかわかりませんが、ネスト自体を当たり前のように書いているHPしか見つからないので どなたか教えていただければ幸いです……。 GPOを使用したパソコンへのアクセス制限について教えてください。 以下の場合を想定しています。 1.特定(管理者)グループのみのドメインコントローラへのアクセス 2.クライアントPCに自分のアカウント以外でのアクセス拒否 3.信頼関係のあるドメインからのログインアクセス拒否 (PCがAドメインに属している場合、信頼関係のあるBドメインユーザーの拒否) この時のログインに使用するアカウントはドメインアカウントを指します。 わかりやすく説明してあるサイトがありましたら教えてください。 また、このあたりが出題範囲になるようなMCPの資格本を勉強したいのですが どれか分かりますでしょうか?(70-290とか) >>565 そこまで状況を限定した内容について書いている本など無い まずGPO以前にグループポリシーのネストについて勉強して、 クライアントPCに対して限定的に制限を設定する方法を勉強する その上で、GPOがどのような順位で優先的に適用されていくか (AD上のドメイン<サイト<親OU<子OU<PC内ローカルルール) をしっかりと理解し、どこにGPOをリンクさせるかを検討しなければならないが、 実際のところは実機なり仮想環境なりでシミュレートを行ってそれが正しく適用されるか 試してみるのが一番理解できる 本については、2003 Serverでは少なくとも赤本では無理 2003 Serverなら最低限R2対応の解説書(俺の知る限りSP2に対応した書籍は無い)か、 もしくは2008のAD関連の参考書を立ち読みでもして、 自分の求めている説明に近いことが解説されている本で勉強する以外無いと思われる ASP.NETでUser.Identity.NameでログインユーザーIDとドメインは取得できますが パスワードは取得できないでしょうか? セキュリティがらみで無理だとは思うのですが、そこをなんとか取得 できないものでしょうか? エクスプローラでマイネットワークからサーバが表示されないPCがある なんでかわからん ファイアーウォール関係ある? Hyper-VゲストにDCおいて、Hyper-Vホストのドメイン参加ってできるのな。 しらねかったよ。ホストにHyper-Vのエラー出るけどしばらく様子見してる。 できない理由が思いつかないけど どんなエラーでるの? Hyper-V-VMMS サービスプリンシパル名を登録できませんでした。 と、でるんですが、起動時だけなのでおそらくスレ違いかなと。 当然起動時にはDCが見当たらない旨のエラーはでるわけで、 その他、時刻の同期についても検討しなければならんかも〜 ActiveDirectoryのパスワードってパスワードがそのまま保存されているのでしょうか? あるいは、不可逆なハッシュ値のようなものが保存されているのでしょうか? >>577 平文なのですか?なるほど。それなら取り出せそうですね。 たびたびすみません。 ActiveDirectoryに登録されているユーザーの属性が変更されたことを プログラム(ADSI?)から監視してActiveDirectoryからの変更イベントを 通知してもらうようなことはできますか? それともポーリングするしかないでしょうか? >>579 セキュリティポリシーの監査だけでは不足かい? >>580 ありがとうございます。 イベントログを監視するということでよいでしょうか? >>581 そう。監視する仕組みあるならそれだけでよし。 通知するならプラスeventtriggersでメールかなんか発砲 特定のPCだけに自作の弁当注文アプリをインストールさせるにはどうすりゃいい? >>582 ありがとうございます。ちょっと試してみます。 >>583 ローカルアカウントでログオンしてインストールしろ ADと信頼関係を結んだMIT Kerberosがあり、 ログイン時の認証はMIT Kerberosでやって、 ユーザ情報などはADのものを利用したいと考えています。 WindowsだとADのドメインに参加させた後に、 MIT KerberosのKDCをksetupで登録したらできたのですが、 同じ事をMACでやる場合はどうすればいいでしょうか? (MAC版で質問した方がいいでしょうか?) 問題点にMS製品関係ないだろw 売りつけたベンダに聞けよ >>585 一個一個PCにインストールしなきゃいけないの? >>588 特定って一台かと思った。 でも数台ならローカルアカウントあるいはadminでログオンして入れた方が早いだろ グループ組んで当該PC放り込んでグループポリシー作って ログオンスクリプトかなんかで配るとか? 最近触ってないから自信ない >>586 MacOSXをAD参加させて ... ということ? AD参加まではできている? AD参加は、AD-DCに凝った設定をしてないく、 手順がわかれば簡単にできると思うけど、 kerberos関連は、Internetでみつからなければ、 以下の書籍などをあたってみては? (OSXのバージョンによっても、変わるかも) Mac OS Xシステム管理リファレンス1 ディレクトリサービス、セキュリティ、ネットワーキングとファイルサービス ttp://www.borndigital.co.jp/book/detail.php?id=84 英文なら、もう少し書籍があるかも(文献が少ない分野かも)。 >>589 MacのAD参加まではできています。 あとは、/Library/Preferences/edu.mit.kerberosの設定を書き換えて なんとかできないかなと思っているのですが…。 紹介して頂いた書籍のディレクトリサービスの管理は興味深いですね。 あとは書籍と色々サイトを調べて地道に試していくしかないですかね。 ActiveDirectoryの代わりにopenLDAPでも統合Windows認証って できるんですかね まともに動かないよ。 サポートしてくれるとこがないならやめといた方が無難。 Active Directoryのテスト環境を作りましたが、不明点がありまし ■サーバ OS:2008 ホスト名:SRV01 ドメイン名:test.local IPアドレス:192.168.0.10/24(static) 役割: ・ADDS ・DHCPサーバ(スコープ範囲192.168.0.11〜20) ・DNSサーバ(AレコードにSRV01=192.168.0.10のみ登録) 上記ドメインにXP-Proのホスト名「XP01」というコンピュータを参加させました。 IPアドレスはDHCPで取得し、192.168.0.11が割り振られました。 DNSの前方参照を見ても、サーバのAレコードは登録されていますが、 勿論XP01=192.168.0.11なんて情報は登録されていません。 この場合、XP01が192.168.0.11であるという情報はどこに登録されているのでしょうか? DHCPクライアントなので192.168.0.11から変更になった場合でも、 >nslookup XP01 で 192.168.0.15(例) などのように変化するアドレスに対応できなければいけません 初歩的な質問ですみませんが、どなたかご教授くださいませ >>595 まずは2003の話でごめんって謝っとく。 んで、普通にドメインに参加した状態ならDNSの前方参照に登録されるはずだよ? XP側の設定でTCP→DNSタブでこの接続をDNSの登録に使うとかいうチェックボックスはONになってる? なってるようならipconfig /registerdnsをクライアント側で実行 DNSの登録情報をF5連打でどぉ? >>596 ありがとうございます! 早速試してみますね 「ログオン時間の有効期間が切れたときに実行するアクションを設定する」というポリシーについて 教えてください。 DC Windoes Server 2008R2 クライアント Windows 7 x64 ultimate DCにて、強制ログアウトというGPOを作り、ユーザーの構成、管理用テンプレート、Windowdコンポーネント、 Windowsログオンのオプション、「ログオン時間の有効期間が切れたときに実行するアクションを設定する」を 有効にして、アクションにロックを選択しました。 次に、ユーザtestのプロパティのログオン時間でログオン拒否の時間帯を設定しました。 クライアントマシンにtestでログオンして、ログオン拒否の時間になると、強制的にロックされるという 動作を期待しているのですが、働かない場合があります。 最初にはまったのは、クライアントマシンにてAD\testユーザに管理者権限を与えた場合にアクションが 無効になっていました。これは考えてみたら、当たり前の話ですね。 クライアントマシンに問題のユーザの管理者権限が無い状態にして、ドメインのユーザー権限もDomain Usersにしてあると、一見正常に動いているように見えたのですが、他のマシンやユーザで強制ログアウトが 働かない場合があります。 正常に働かないマシンにて、問題のユーザでgpresult -vを見たら、ポリシーに関しては設定されていることを 確認してあります。他にこのポリシーが働かなくなる条件があるのでしょうか。 パソコンがAD配下にありDHCPとWINSが複数あるんだけど、 インターネット閲覧が遅いと思って何気なくipconfigを 数分毎にやってみるとWINSのプライマリとセカンダリが 時々入れ替わってる。この間パソコンのリブートは無し。 パソコンが遅い理由はさておき、この入れ替わるというのは 何かの条件で起こるものなんでしょうか? サーバー管理者は設定変更してないって言ってるんですが。 >>599 エスパーじゃないので推測に過ぎないが ・DHCPサーバが複数台ある(冗長化されている) ・DHCPサーバのDHCPオプション設定でWINSサーバの優先順位が1台目と2台目で逆に設定されている ・複数台のDHCPサーバは同じ物理的距離に在りどちらが払い出すかはタイミング次第 2003Enterprise Edition(R2では無いです。) ADのフォルダリダイレクトの設定でファイルサーバ上にリダイレクトしてて 設定を「ユーザーに <フォルダ名> に対して排他的な権限を与える」を有効にしてた場合ですが そのデータを別サーバに複製しようとしても出来ないですよね? 複数人のこういったリダイレクトされたデータを ファイルサーバが壊れたときのために複製したいんですが 排他的な権限を与えAdmin権限をもってしてもアクセス権が無い状態では 無理な話なのでしょうか? Backup Operators権限でレプリケートの動作をするようなアプリを使えばよろし。 まぁ、具体的にそんなアプリを見たり調べたことがあるわけでもないが。 手間暇掛けられるんならntbackupとかでバックアップとってリストアするのはできるでしょ。 リソースキット買ったんですが… 何か日本語読みにくい気がするのは気のせいだろうか ADのサーバ一台を処分する際、dcpromo.exeで降格せずにサーバを処分してしまったのですが、 この後AD(2008)から処分したサーバ情報を削除(降格)するにはどうしたら良いのでしょうか? ググるとadsiedit.msc(http://support.microsoft.com/default.aspx?scid=kb ;ja;216498) が出てくるのですが、ここには、 「Windows Server 2008 の場合、管理者は Active Directory ユーザーとコンピュータ スナップインでサーバー オブジェクトを削除することで、サーバー オブジェクトのメタ データを削除できます。 」 とあります。 これは具体的にはどういうことなのでしょうか・・・・。 >>609 もうそれ以上、具体的に説明できないほど具体的です。 書いてあるスナップインでサーバーを右クリックして削除すれば良いと思います・・・。 2003のときはそこで消してもDNSにはちょこちょこ残っちゃったりして困った覚えがあります。 >>610 なるほど・・・。 そのままサーバ名を消しちゃっていいんですね。 後は必要に応じてADにコンピュータ名登録名とかDNS名を削除する、ってことですね。 ありがとうございます。 >>612 まじっすか!? 消しちゃったよ・・・・。 すみません、ActiveDirectoryで誰がファイルを削除したとか分かるようにするにはどうすればいいですか? 2008R2なんですが ファイルをユーザーが削除したかサーバーに問題があってファイルが勝手に消えたか 証明しないといけないんですが。デフォルトの設定だと解析するの無理ですか? AD2003のユーザーアカウントのSIDを AD2008のユーザーアカウントのSID履歴に追加したい Windows 2008 64-bit 上で、CUIプログラムで上記を実施したいのですが、 Windows 2003のサポートツールにあった"clonepr.dll"が、 Windows 2008には存在しませんでした。(サポートツール自体がない?) とりあえず、Windows 2003にあった"clonepr.dll"を使えないか試してみたのですが、 32-bit OS 上だと動作することは確認できたのですが、 64ibit OS 上だとレジストリに登録することすらできませんでした。 DsAddSidHistory(ntdsapi.dll)というのを見つけたのですが、 英語のページしかなく理解できませんでした。 CUIでSID履歴を追加する方法をご存知の方がいましたら、 教えてください。 >>616 > CUIでSID履歴を追加する方法をご存知の方がいましたら、 ADMT v3.1 以下のような場合、ActiveDirectoryに発生する障害について教えてくれ。 社内のActiveDirectoryを管理しているサーバ名が『Server01.company.jp』だとする。 DNSサーバーも、上記サーバーのIPアドレスだとする。 このネットワークに、クライアント『Server01.company.jp』を乱入させたら、どんなシステム障害が出る? (ドメインコントローラの名前とクライアント名が重複している) ActiveDirectoryの参加方法に関して質問。 クライアントからADに参加するときに『サーバーのDomain管理者』のユーザー名とパスワードを入力するよう催促されるよな? となると、数十台のPCを追加した場合、 Domain管理者がクライアント1台1台にAdministratorのユーザー名とパスワードを入力せにゃならんの? それって無駄じゃね? ADのDCでいじってなければ 普通のユーザでも10台まで ドメイン参加できたかと。 ユーザが多いんなら、 ドメイン参加専用ユーザ 作って参加権限を割り当てたり 他の権限をはずしたり? どういうはずし方がよい? 専用のユーザで作業するように しておけば、ドメイン参加、非参加、 再参加などでコンピュータアカウント 作成関連の権限の問題にも ぶつからずに済む。 専用ユーザで作業してない場合、 administratorでの作業が必要に なりやすい? コンピュータアカウントを プレステージングする時も 専用ユーザを使うのが吉? 「普通のユーザ」は、 「普通のドメインユーザ」、 「ドメイン参加用専用のユーザ」 は、「普通のドメインユーザとして 作ったユーザ」で、ドメイン参加の 権限を割り当てたり、 ローカルログオン などの権限をはずしておくなり? ドメイン参加作業自体は、ローカルの 管理者などでないとできないのかも。 ドメインへログインしっぱなし(数ヶ月立ち上げっぱなし)のPCの場合、 そのPCの時間の同期はどのタイミングでおこなうのでしょうか。 どこの設定でおこなっているのでしょうか。 教えてください。 >>622 初期値で2^6〜2^15secの間隔で同期して段階的に長くなっていったと思う W32TimeのRegで調整できたかと。 Network Configuration Operatorsに所属させたいユーザがいるんだけど ActiveDirectoryのコンソールのBuiltinにないのです・・・ 2000サーバーだからなのか不明ですが 何か良い方法はないでしょうか。 共有フォルダ配下のフォルダにアクセスベースの列挙を設定しています 権限は一般ユーザーの一部の人をフルコントロールにしました しかしその結果、アクセス権限の無いはずのユーザーにもフォルダが見えてしまっている状態です domain usersをadministratorsグループに入れてるからかなぁ 100台ぐらいのクライアント(XP)をWORKGRUOPから Win2008のADにmoveuserで移行した >>526 あたりの書き込みが参考になったので そのほか分かったことを追記 Error5で移行できない場合 移行するアカウントでログオンして インターネットのプロパティから一時ファイル、cookieとか削除 ゴミ箱を空にして再起動したら、エラー解決した端末が多数あった デブは使えない 作業が遅い、指示したとおりに動かない、いらんことする 本当に使えない ・ログインキャッシュしたユーザってキャッシュを使わずにログインしたユーザと 内部で持っているステータス(ヒープ領域のサイズなど)が違ったりするんでしょうか? どなたか助けて頂けないでしょうか。 ADのアカウント・グループを一覧で 調べないといけない事情が出来ました。 なんらかのツールかバッチ等が ありましたら、教えてください。 ちなみにOSはWindows2008サーバです。 申し訳ない、質問させてください。 FreeBSD でサーバは、立てることは出来ますが、Windwos サーバはほとんど無知です。 どういう場所かというと、高校の実習室です。 状況説明 ADで構成され、閉ざされた環境のネットワークが、2つ在ります。 その2つ用に、2台のサーバーを作りました。(構成は、まったく同じ) Apache(Webサーバ) Ftpd(Ftpサーバ) tinydns(DNSサーバ) postfix(メールサーバ) 単にクライアントのDNS設定だけ、いじり メール実習やWeb実習をするするつもりでしたが。 実際につないで見ると、うまくいかず。 1つ目のネットワーク Windows2000サーバが2つ入っている。 つなぐと、使えるけど、AD環境へのログオンが遅いのと、移動プロファイルにエラーがでる。 2つ目のネットワーク Window2003サーバとWindowNTサーバ AD環境へのログオンが、めちゃくちゃ遅い、40から50秒くらい。 FreeBSDのDNSが、使えていない。 ここのFreeBSDのDNSで、ドメインを hoge.ed.jp と設定しているのに対して、Windows ADドメインは、locate 何とかでした。 クライアントをADでなく、パソコン自体にログオンすると、FreeBSD 設定のDNSは、使えます。 現在考えていることは、 1.FreeBSDのDNS で、Windows server を登録する。 2.FreeBSDのDNSを使わず、Windows server のDNSで、FreeBSD サーバを登録する。 # この場合、現時点では登録の仕方が、わかりません。 特に、ADドメインと違うドメインを登録できるのか。 この1.2.ぐらいで、上記の現象は、解決できるのでしょうか? 明後日が授業なので、ヒントだけでももらえれば、助かります。 実際、Windows の AD をなめていました。どうせ、NetBEUI や NetBIOS を使うので、DNS は、使っていないだろうと。。。ORZ >>632 とにかく動かしたいなら、 WindowsNTは捨てる ADのDCだけでDNSを動かす クライアントのDNSサフィックスをADに合わせる >>633 ありがとう。やってみます。 ADドメイン(localhost??)と違う ドメインも、使えるのかな? ここが、一番不安です。 >>634 ADは、多分"〜〜.local"では? Windows系は全てAD管理 それ以外のDNSが必要なら別途独立で Windowsクライアント→ADのDNS(〜〜.local)→フォワーダとか→別途のDNS(〜〜.ac.jpとか) で、Windowsクライアントから名前解決は可能 とりあえず設定して今戻ってきた、明日の授業はどうにかなりそうです。 >1つ目のネットワーク >Windows2000サーバが2つ入っている。 の方は、windows server のDNSを設定することで解決した。 ありがとう。 でも、2つ目のネットワークの方は、うまくいかない。 >>635 のいうように >"〜〜.local" だった。 現在のADのサービスは、残したまま、新たにサービスを追加する方法が見つからず、かえって来ました。 >Windowsクライアント→ADのDNS(〜〜.local)→フォワーダとか→別途のDNS(〜〜.ac.jpとか) これ、ごめん無知でよく分からない。クライアント側を設定するの? とりあえず、クライアント側の「hosts」に、書き込んで、名前解決を試みたが。 ADでログオンしても、ping で打つとうまく名前解決できていたが。 IE で、見るとだめ。時間切れでしっかりと確認してはいないけど、どうもプロキシが刺さっているみたい。 それとメールのほうも、名前解決が出来ても、hosts では、メールサーバだと、明示できないよなと思ってしまった。 引き続き、ヒントもらえると助かります。 >>636 クライアントの設定 DNS参照先 ADのDNSサーバIPアドレス DNSサフィックスの追加リスト 〜〜.local(ADのドメイン) 〜〜.ed.jp(もう一つのやつ) ADのDNSサーバの設定 DNSルート(.)があったら削除 フォワーダを有効 フォワード先に〜〜.ed.jpのDNSサーバIPアドレスを追加 この辺参考で http://www.atmarkit.co.jp/fnetwork/rensai/ad04/ad01.html >>637 何度もすいません。 フォワーダというのが聞き覚えない言葉で、ぐぐって概要は理解できたものの、どうやって設定するのだろうと、疑問を持っていました。 参考URLで理解できました。 明日にでもやってみますが、迷惑ついでに「クライアント設定」も必要あるのでしょうか? もしよろしければ、解説いただければと思い。 >>638 ADに参加するWindowsクライアントはADのDNSを参照するようにした方が 何かとトラブルが少ない 工夫すればなんとでもなるけど >>639 ありがとうございました。いろいろと試してみます。 本当にありがとう。 クライアント環境のドメイン移行についてお聞きします。 無難なのがプロファイル移行 OUの制御の委任を解除するにはどうしたらよいでしょうか? 2000から2008へのAD移行を考えています。 ADに触ったことは少しありますが、移行は初めてです。 そこで参考書を買おうと思うのですが、以下の本を読めば移行方法などは載ってますかね? http://ec.nikkeibp.co.jp/item/books/A04600.html また、参考になる本、サイトなどがあれば教えていただければ嬉しいです。 よろしくお願いします。 >>647 ttp://primeserver.fujitsu.com/primergy/technical/construct/#ad01 その参考書には具体的な移行に関する記述はないんじゃないの。 概要くらいは書いてあるかも知れないが。目次にもアップグレードしかないし。 AD+ローカルDNSが設定されたドメインがあります。 サーバーはWin2000で、かつて実機がハード故障でトラブルを起こしたとき、 そのままの構成でVMwareのクライアントに移動して稼動しています。 ユーザーも多くなく、どうしても必要な共有ポリシーもありません。2008の購入予定もありません。 リソースの共有等についてはsamba共有等で足りているので、そろそろADの使用を終了したいのです。 とはいえ、ADのサーバーを停止すると、当然ユーザーのデスクトップへのログイン認証ができなくなります。 そうしたトラブルを最小限に、ADの使用を円滑に終了させるためのノウハウはないでしょうか。 MSのサイトからは、この種の知見が得られないので、よろしくお願いします。ポインターでもかまいません。 PCローカルにユーザ作って moveuserコマンドで PC上のユーザプロファイルの所有者を ドメインユーザからPC上のローカルユーザへ変更するのはどうでしょうか。 >>651 moveuserを使う場合、1台ごとに作業しなければいけないですよね。 各ユーザーが全て自分でできて、結果の責任もとってくれるならいいんですが。 おそらく、一つ一つのPCにAdministratorが入って作業しなければならなくなります。 できればそれは勘弁してほしい、最後の手段としておきたいと思っています。 というか、それをするくらいだったら、現状維持しようと考えているので。 ドメインからワークグループへのダウングレードって、需要はないんですかね。 ADやLDAPなどのパスワード認証サーバによる管理が必要な状況はわかりますが、 現在の規模では、VNCやRDPが使えたり、SMBでの共有ができれば問題ないので、 MSのサポートが終了したWin2000Serverを、これだけのため使い続けたくないのです。 sambaでも何でも、ワークグループ環境で読み書きできるアクセス権の共有作って、 期限切って必要なデータは各自コピーさせれば良いだろ。期限が来たらDCそのまま止めて終わりだよ。 どうせユーザも少ないんだろうしEveryoneフルにして、DC停止後のユーザなんて好きにさせればいい。 最低限adminで所有権奪取すればアクセス権なんていくらでも書き換えられるんだから。 そうも行かない事情があるなら、そのくらい自分で考えたらいい。 2008 R2グループポリシー コンピュータの構成で、データソースに追加した設定が、 管理ツールのODBCに反映されません。 クライアントはWin7で、GroupPolicy EventID:4098が出ています。 ログには「0x80004005 エラーを特定できません」となっていて、 このコードは権限不足だというところまでは調べたのですが、 権限を付与するにはどうすればいいのでしょうか。 ADのGPを使い、時間でユーザアカンントをロックするようにし、PCに再度ログイン するにはそのユーザのパスワードが必要に設定しました。 管理者が強制的にそのPC上のユーザのロックを解除するにはどうすれば よいのでしょうか。 AD上でそのユーザのアカウントのロックをみたらロックにチェックは はいておりません。 よろしくお願いします >>658 アカウントロックと画面のロックがごちゃごちゃになってる気がする。 read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる