Windows★Active Directoryｽﾚ

[0001 チーママ 04/07/24 18:24 ID:+Mq+S2Wi]

なかったので立てました。
管理者のみなさん、一緒にお話しませんこと？

[0590 名無し~3.EXE 2009/10/14(水) 23:27:25 ID:NVsF7RPg]

>>586

MacOSXをAD参加させて ... ということ？
AD参加まではできている？

AD参加は、AD-DCに凝った設定をしてないく、
手順がわかれば簡単にできると思うけど、
kerberos関連は、Internetでみつからなければ、
以下の書籍などをあたってみては？
（OSXのバージョンによっても、変わるかも）

Mac OS Xシステム管理リファレンス１
ディレクトリサービス、セキュリティ、ネットワーキングとファイルサービス
ttp://www.borndigital.co.jp/book/detail.php?id=84

英文なら、もう少し書籍があるかも（文献が少ない分野かも）。

[0591 586 2009/10/15(木) 08:43:47 ID:dayxlLcB]

>>589

MacのAD参加まではできています。
あとは、/Library/Preferences/edu.mit.kerberosの設定を書き換えて
なんとかできないかなと思っているのですが…。

紹介して頂いた書籍のディレクトリサービスの管理は興味深いですね。

あとは書籍と色々サイトを調べて地道に試していくしかないですかね。

[0592 名無し~3.EXE 2009/10/15(木) 11:24:38 ID:C3BtzlLF]

ActiveDirectoryの代わりにopenLDAPでも統合Windows認証って
できるんですかね

[0593 名無し~3.EXE 2009/10/15(木) 11:47:08 ID:RJaSNzR2]

まともに動かないよ。
サポートしてくれるとこがないならやめといた方が無難。

[0594 名無し~3.EXE 2009/10/15(木) 11:59:38 ID:C3BtzlLF]

>>593
了解しました！

[0595 名無し~3.EXE 2009/11/11(水) 20:22:29 ID:Jw+LaSXg]

Active Directoryのテスト環境を作りましたが、不明点がありまし

■サーバ
OS:2008
ホスト名:SRV01
ドメイン名:test.local
IPアドレス:192.168.0.10/24(static)
役割：
・ADDS
・DHCPサーバ(スコープ範囲192.168.0.11〜20)
・DNSサーバ(AレコードにSRV01=192.168.0.10のみ登録)

上記ドメインにXP-Proのホスト名「XP01」というコンピュータを参加させました。
IPアドレスはDHCPで取得し、192.168.0.11が割り振られました。

DNSの前方参照を見ても、サーバのAレコードは登録されていますが、
勿論XP01=192.168.0.11なんて情報は登録されていません。

この場合、XP01が192.168.0.11であるという情報はどこに登録されているのでしょうか？
DHCPクライアントなので192.168.0.11から変更になった場合でも、
>nslookup XP01
で
192.168.0.15(例)
などのように変化するアドレスに対応できなければいけません

初歩的な質問ですみませんが、どなたかご教授くださいませ

[0596 名無し~3.EXE 2009/11/11(水) 21:06:01 ID:OB6kW7fK]

>>595
まずは2003の話でごめんって謝っとく。

んで、普通にドメインに参加した状態ならDNSの前方参照に登録されるはずだよ？
XP側の設定でTCP→DNSタブでこの接続をDNSの登録に使うとかいうチェックボックスはONになってる？

なってるようならipconfig /registerdnsをクライアント側で実行
DNSの登録情報をF5連打でどぉ？

[0597 名無し~3.EXE 2009/11/12(木) 06:27:23 ID:/VsKt9sR]

>>596

ありがとうございます！
早速試してみますね

[0598 名無し~3.EXE 2009/11/16(月) 11:11:09 ID:iV9sn7/w]

「ログオン時間の有効期間が切れたときに実行するアクションを設定する」というポリシーについて
教えてください。

DC Windoes Server 2008R2
クライアント Windows 7 x64 ultimate

DCにて、強制ログアウトというGPOを作り、ユーザーの構成、管理用テンプレート、Windowdコンポーネント、
Windowsログオンのオプション、「ログオン時間の有効期間が切れたときに実行するアクションを設定する」を
有効にして、アクションにロックを選択しました。

次に、ユーザtestのプロパティのログオン時間でログオン拒否の時間帯を設定しました。

クライアントマシンにtestでログオンして、ログオン拒否の時間になると、強制的にロックされるという
動作を期待しているのですが、働かない場合があります。

最初にはまったのは、クライアントマシンにてAD\testユーザに管理者権限を与えた場合にアクションが
無効になっていました。これは考えてみたら、当たり前の話ですね。
クライアントマシンに問題のユーザの管理者権限が無い状態にして、ドメインのユーザー権限もDomain
Usersにしてあると、一見正常に動いているように見えたのですが、他のマシンやユーザで強制ログアウトが
働かない場合があります。

正常に働かないマシンにて、問題のユーザでgpresult -vを見たら、ポリシーに関しては設定されていることを
確認してあります。他にこのポリシーが働かなくなる条件があるのでしょうか。

[0599 名無し~3.EXE 2009/11/17(火) 03:19:51 ID:/EQ/Ifbd]

パソコンがAD配下にありDHCPとWINSが複数あるんだけど、
インターネット閲覧が遅いと思って何気なくipconfigを
数分毎にやってみるとWINSのプライマリとセカンダリが
時々入れ替わってる。この間パソコンのリブートは無し。
パソコンが遅い理由はさておき、この入れ替わるというのは
何かの条件で起こるものなんでしょうか？
サーバー管理者は設定変更してないって言ってるんですが。

[0600 名無し~3.EXE 2009/11/17(火) 16:59:04 ID:AtSP+uWu]

>>599
管理者にお尋ねください

[0601 sage 2009/11/18(水) 01:15:41 ID:rC5jOgT3]

>>599
エスパーじゃないので推測に過ぎないが
・DHCPサーバが複数台ある(冗長化されている)
・DHCPサーバのDHCPオプション設定でWINSサーバの優先順位が1台目と2台目で逆に設定されている
・複数台のDHCPサーバは同じ物理的距離に在りどちらが払い出すかはタイミング次第

[0602 名無し~3.EXE 2009/12/22(火) 23:06:24 ID:8Tt3lpNX]

http://technet.microsoft.com/ja-jp/activedirectory/default.aspx

[0603 名無し~3.EXE 2010/02/19(金) 23:43:35 ID:cMmJ5IuK]

2003Enterprise Edition(R2では無いです。)
ADのフォルダリダイレクトの設定でファイルサーバ上にリダイレクトしてて
設定を「ユーザーに <フォルダ名> に対して排他的な権限を与える」を有効にしてた場合ですが
そのデータを別サーバに複製しようとしても出来ないですよね？
複数人のこういったリダイレクトされたデータを
ファイルサーバが壊れたときのために複製したいんですが
排他的な権限を与えAdmin権限をもってしてもアクセス権が無い状態では
無理な話なのでしょうか？

[0604 名無し~3.EXE 2010/02/20(土) 00:31:32 ID:mFSXx5jB]

Backup Operators権限でレプリケートの動作をするようなアプリを使えばよろし。
まぁ、具体的にそんなアプリを見たり調べたことがあるわけでもないが。
手間暇掛けられるんならntbackupとかでバックアップとってリストアするのはできるでしょ。

[0605 名無し~3.EXE 2010/02/25(木) 18:17:53 ID:BRxKrGPH]

☆関連スレ



Windows Server 2008／2008R2
http://pc12.2ch.net/test/read.cgi/win/1232512417/

Exchange Serverスレッド
http://pc12.2ch.net/test/read.cgi/win/1049567372/

[0606 名無し~3.EXE 2010/02/26(金) 08:56:19 ID:+azOeRLW]

☆関連板

自宅サーバ＠2ch掲示板
http://pc11.2ch.net/mysv/

[0607 名無し~3.EXE 2010/03/07(日) 20:28:17 ID:NNozUP6B]

リソースキット買ったんですが…
何か日本語読みにくい気がするのは気のせいだろうか

[0608 名無し~3.EXE 2010/03/10(水) 06:49:25 ID:DBu/JM3A]

☆関連スレ


Windows Server 2008／2008R2 Part2
http://pc12.2ch.net/test/read.cgi/win/1268134563/

Small Business Server 2000/2003のスレ
http://pc12.2ch.net/test/read.cgi/win/1157930777/

[0609 名無し~3.EXE 2010/03/15(月) 11:45:57 ID:GPH5wh8K]

ADのサーバ一台を処分する際、dcpromo.exeで降格せずにサーバを処分してしまったのですが、
この後AD(2008)から処分したサーバ情報を削除(降格)するにはどうしたら良いのでしょうか？

ググるとadsiedit.msc(http://support.microsoft.com/default.aspx?scid=kb;ja;216498)
が出てくるのですが、ここには、
「Windows Server 2008 の場合、管理者は Active Directory ユーザーとコンピュータ
スナップインでサーバー オブジェクトを削除することで、サーバー オブジェクトのメタ
データを削除できます。 」
とあります。
これは具体的にはどういうことなのでしょうか・・・・。

[0610 名無し~3.EXE 2010/03/15(月) 12:36:06 ID:Xb/2aGK1]

>>609
もうそれ以上、具体的に説明できないほど具体的です。

書いてあるスナップインでサーバーを右クリックして削除すれば良いと思います・・・。

2003のときはそこで消してもDNSにはちょこちょこ残っちゃったりして困った覚えがあります。

[0611 名無し~3.EXE 2010/03/15(月) 12:40:48 ID:GPH5wh8K]

>>610
なるほど・・・。
そのままサーバ名を消しちゃっていいんですね。
後は必要に応じてADにコンピュータ名登録名とかDNS名を削除する、ってことですね。
ありがとうございます。

[0612 名無し~3.EXE 2010/03/15(月) 12:54:22 ID:NVWhG+Pu]

>>611
ちょっと違う

[0613 名無し~3.EXE 2010/03/15(月) 13:20:19 ID:GPH5wh8K]

>>612
まじっすか！？
消しちゃったよ・・・・。

[0614 名無し~3.EXE 2010/03/26(金) 00:19:39 ID:sGVzR0OS]

すみません、ActiveDirectoryで誰がファイルを削除したとか分かるようにするにはどうすればいいですか？
2008R2なんですが
ファイルをユーザーが削除したかサーバーに問題があってファイルが勝手に消えたか
証明しないといけないんですが。デフォルトの設定だと解析するの無理ですか？

[0615 名無し~3.EXE 2010/03/26(金) 01:12:35 ID:7914yU+I]

オブジェクトアクセスの監査

[0616 名無し~3.EXE 2010/03/26(金) 23:25:38 ID:/fCzM7pK]

AD2003のユーザーアカウントのSIDを
AD2008のユーザーアカウントのSID履歴に追加したい

Windows 2008 64-bit 上で、CUIプログラムで上記を実施したいのですが、
Windows 2003のサポートツールにあった"clonepr.dll"が、
Windows 2008には存在しませんでした。（サポートツール自体がない？）

とりあえず、Windows 2003にあった"clonepr.dll"を使えないか試してみたのですが、
32-bit OS 上だと動作することは確認できたのですが、
64ibit OS 上だとレジストリに登録することすらできませんでした。

DsAddSidHistory(ntdsapi.dll)というのを見つけたのですが、
英語のページしかなく理解できませんでした。

CUIでSID履歴を追加する方法をご存知の方がいましたら、
教えてください。

[0617 名無し~3.EXE 2010/03/28(日) 20:18:45 ID:dYl+ZtUr]

>>616
> CUIでSID履歴を追加する方法をご存知の方がいましたら、

ADMT v3.1

[0618 名無し~3.EXE 2010/03/30(火) 22:18:52 ID:Q8irMTrd]

以下のような場合、ActiveDirectoryに発生する障害について教えてくれ。

社内のActiveDirectoryを管理しているサーバ名が『Server01.company.jp』だとする。
DNSサーバーも、上記サーバーのIPアドレスだとする。

このネットワークに、クライアント『Server01.company.jp』を乱入させたら、どんなシステム障害が出る？
（ドメインコントローラの名前とクライアント名が重複している）

[0619 名無し~3.EXE 2010/04/01(木) 21:28:05 ID:owO6d5Ym]

ActiveDirectoryの参加方法に関して質問。

クライアントからＡＤに参加するときに『サーバーのDomain管理者』のユーザー名とパスワードを入力するよう催促されるよな？
となると、数十台のＰＣを追加した場合、
Domain管理者がクライアント1台1台にAdministratorのユーザー名とパスワードを入力せにゃならんの？
それって無駄じゃね？

[0620 名無し~3.EXE 2010/04/01(木) 21:45:13 ID:SQ0VYN3P]

ADのDCでいじってなければ
普通のユーザでも10台まで
ドメイン参加できたかと。

ユーザが多いんなら、
ドメイン参加専用ユーザ
作って参加権限を割り当てたり
他の権限をはずしたり？

どういうはずし方がよい？

専用のユーザで作業するように
しておけば、ドメイン参加、非参加、
再参加などでコンピュータアカウント
作成関連の権限の問題にも
ぶつからずに済む。

専用ユーザで作業してない場合、
administratorでの作業が必要に
なりやすい？

コンピュータアカウントを
プレステージングする時も
専用ユーザを使うのが吉？

[0621 名無し~3.EXE 2010/04/01(木) 21:55:52 ID:SQ0VYN3P]

「普通のユーザ」は、
「普通のドメインユーザ」、
「ドメイン参加用専用のユーザ」
は、「普通のドメインユーザとして
作ったユーザ」で、ドメイン参加の
権限を割り当てたり、
ローカルログオン
などの権限をはずしておくなり？

ドメイン参加作業自体は、ローカルの
管理者などでないとできないのかも。

[0622 名無し~3.EXE 2010/04/01(木) 23:21:45 ID:+yn9eAIZ]

ドメインへログインしっぱなし（数ヶ月立ち上げっぱなし）のPCの場合、
そのPCの時間の同期はどのタイミングでおこなうのでしょうか。
どこの設定でおこなっているのでしょうか。
教えてください。

[0623 名無し~3.EXE 2010/04/02(金) 02:11:04 ID:mwTp4P+Z]

>>622
初期値で2^6〜2^15secの間隔で同期して段階的に長くなっていったと思う
W32TimeのRegで調整できたかと。

[0624 名無し~3.EXE 2010/04/02(金) 11:18:19 ID:THr1YKm0]

Network Configuration Operatorsに所属させたいユーザがいるんだけど
ActiveDirectoryのコンソールのBuiltinにないのです・・・
2000サーバーだからなのか不明ですが
何か良い方法はないでしょうか。

[0625 名無し~3.EXE 2010/04/11(日) 09:12:15 ID:fMh/paBL]

共有フォルダ配下のフォルダにアクセスベースの列挙を設定しています
権限は一般ユーザーの一部の人をフルコントロールにしました

しかしその結果、アクセス権限の無いはずのユーザーにもフォルダが見えてしまっている状態です
domain usersをadministratorsグループに入れてるからかなぁ

[0626 名無し~3.EXE 2010/05/12(水) 14:11:32 ID:GjvLCwRi]

かなぁじゃねーよｗ

[0627 名無し~3.EXE 2010/05/15(土) 23:04:34 ID:C2vDLku9]

100台ぐらいのクライアント(XP)をWORKGRUOPから
Win2008のADにmoveuserで移行した
>>526あたりの書き込みが参考になったので
そのほか分かったことを追記

Error5で移行できない場合
移行するアカウントでログオンして
インターネットのプロパティから一時ファイル、cookieとか削除
ゴミ箱を空にして再起動したら、エラー解決した端末が多数あった

デブは使えない
作業が遅い、指示したとおりに動かない、いらんことする
本当に使えない

[0628 名無し~3.EXE 2010/05/30(日) 18:58:44 ID:5AsopoLz]

・ログインキャッシュしたユーザってキャッシュを使わずにログインしたユーザと
内部で持っているステータス（ヒープ領域のサイズなど）が違ったりするんでしょうか？

[0629 名無し~3.EXE 2010/06/08(火) 20:24:40 ID:o7/wccvb]

どなたか助けて頂けないでしょうか。

ADのアカウント・グループを一覧で
調べないといけない事情が出来ました。

なんらかのツールかバッチ等が
ありましたら、教えてください。

ちなみにOSはWindows2008サーバです。

[0630 名無し~3.EXE 2010/06/12(土) 01:09:50 ID:3dE8DF5s]

net user
net group

[0631 名無し~3.EXE 2010/07/06(火) 01:00:39 ID:PMsPXi4o]

申し訳ない、質問させてください。
FreeBSD でサーバは、立てることは出来ますが、Windwos サーバはほとんど無知です。
どういう場所かというと、高校の実習室です。

状況説明
ADで構成され、閉ざされた環境のネットワークが、２つ在ります。
その２つ用に、2台のサーバーを作りました。（構成は、まったく同じ）
Apache(Webサーバ)
Ftpd(Ftpサーバ)
tinydns（DNSサーバ）
postfix（メールサーバ）

単にクライアントのDNS設定だけ、いじり　メール実習やWeb実習をするするつもりでしたが。
実際につないで見ると、うまくいかず。

[0632 631 2010/07/06(火) 01:01:25 ID:PMsPXi4o]

１つ目のネットワーク
Windows2000サーバが２つ入っている。
つなぐと、使えるけど、AD環境へのログオンが遅いのと、移動プロファイルにエラーがでる。

2つ目のネットワーク
Window2003サーバとWindowNTサーバ
AD環境へのログオンが、めちゃくちゃ遅い、40から50秒くらい。
FreeBSDのDNSが、使えていない。
ここのFreeBSDのDNSで、ドメインを　hoge.ed.jp と設定しているのに対して、Windows ADドメインは、locate 何とかでした。
クライアントをADでなく、パソコン自体にログオンすると、FreeBSD 設定のDNSは、使えます。

現在考えていることは、
１．FreeBSDのDNS で、Windows server を登録する。
２．FreeBSDのDNSを使わず、Windows server のDNSで、FreeBSD サーバを登録する。
# この場合、現時点では登録の仕方が、わかりません。

特に、ADドメインと違うドメインを登録できるのか。

この１．２．ぐらいで、上記の現象は、解決できるのでしょうか？

明後日が授業なので、ヒントだけでももらえれば、助かります。
実際、Windows の AD をなめていました。どうせ、NetBEUI や NetBIOS を使うので、DNS は、使っていないだろうと。。。ORZ

[0633 名無し~3.EXE 2010/07/06(火) 07:40:07 ID:nJHg2Ev6]

>>632
とにかく動かしたいなら、

WindowsNTは捨てる
ADのDCだけでDNSを動かす
クライアントのDNSサフィックスをADに合わせる

[0634 名無し~3.EXE 2010/07/06(火) 09:14:31 ID:PumEwsBI]

>>633
ありがとう。やってみます。
ADドメイン（localhost??）と違う ドメインも、使えるのかな？
ここが、一番不安です。

[0635 名無し~3.EXE 2010/07/06(火) 18:53:18 ID:nJHg2Ev6]

>>634
ADは、多分"〜〜.local"では？
Windows系は全てAD管理
それ以外のDNSが必要なら別途独立で

Windowsクライアント→ADのDNS（〜〜.local）→フォワーダとか→別途のDNS（〜〜.ac.jpとか）

で、Windowsクライアントから名前解決は可能

[0636 631 2010/07/06(火) 19:48:39 ID:PumEwsBI]

とりあえず設定して今戻ってきた、明日の授業はどうにかなりそうです。
＞１つ目のネットワーク
＞Windows2000サーバが２つ入っている。
の方は、windows server のDNSを設定することで解決した。
ありがとう。

でも、２つ目のネットワークの方は、うまくいかない。
>>635 のいうように
＞"〜〜.local"
だった。

現在のADのサービスは、残したまま、新たにサービスを追加する方法が見つからず、かえって来ました。

＞Windowsクライアント→ADのDNS（〜〜.local）→フォワーダとか→別途のDNS（〜〜.ac.jpとか）
これ、ごめん無知でよく分からない。クライアント側を設定するの？

とりあえず、クライアント側の「hosts」に、書き込んで、名前解決を試みたが。
ADでログオンしても、ping で打つとうまく名前解決できていたが。
IE で、見るとだめ。時間切れでしっかりと確認してはいないけど、どうもプロキシが刺さっているみたい。

それとメールのほうも、名前解決が出来ても、hosts では、メールサーバだと、明示できないよなと思ってしまった。

引き続き、ヒントもらえると助かります。

[0637 名無し~3.EXE 2010/07/06(火) 21:06:49 ID:nJHg2Ev6]

>>636
クライアントの設定
　DNS参照先
　　ADのDNSサーバIPアドレス
　DNSサフィックスの追加リスト
　　〜〜.local（ADのドメイン）
　　〜〜.ed.jp（もう一つのやつ）

ADのDNSサーバの設定
　DNSルート（.）があったら削除
　フォワーダを有効
　フォワード先に〜〜.ed.jpのDNSサーバIPアドレスを追加

この辺参考で
http://www.atmarkit.co.jp/fnetwork/rensai/ad04/ad01.html

[0638 名無し~3.EXE 2010/07/06(火) 23:03:49 ID:PMsPXi4o]

>>637
何度もすいません。
フォワーダというのが聞き覚えない言葉で、ぐぐって概要は理解できたものの、どうやって設定するのだろうと、疑問を持っていました。
参考URLで理解できました。

明日にでもやってみますが、迷惑ついでに「クライアント設定」も必要あるのでしょうか？
もしよろしければ、解説いただければと思い。

[0639 名無し~3.EXE 2010/07/06(火) 23:18:33 ID:nJHg2Ev6]

>>638
ADに参加するWindowsクライアントはADのDNSを参照するようにした方が
何かとトラブルが少ない
工夫すればなんとでもなるけど

[0640 名無し~3.EXE 2010/07/07(水) 00:36:48 ID:XsIBQ36T]

>>639
ありがとうございました。いろいろと試してみます。
本当にありがとう。

[0641 名無しさん＠そうだ選挙に行こう 2010/07/10(土) 12:39:34 ID:IcrdRRey]

保守

[0642 名無し~3.EXE 2010/07/16(金) 23:15:31 ID:+ASCvStK]

クライアント環境のドメイン移行についてお聞きします。

無難なのがプロファイル移行

[0643 名無し~3.EXE 2010/07/16(金) 23:21:02 ID:GVWcgrF3]

なんだと…

[0644 名無し~3.EXE 2010/08/02(月) 06:54:23 ID:HHLV40Kk]

ＯＵの制御の委任を解除するにはどうしたらよいでしょうか?

[0645 名無し~3.EXE 2010/09/17(金) 23:51:07 ID:SLTggmnx]

OUのACLから追加したユーザを抜く

[0646 名無し~3.EXE 2010/09/18(土) 00:31:04 ID:T8uy7F9V]

追加したユーザをOUのACLから抜く

[0647 名無し~3.EXE 2010/10/10(日) 16:49:50 ID:xgSpkfjs]

2000から2008へのAD移行を考えています。
ADに触ったことは少しありますが、移行は初めてです。
そこで参考書を買おうと思うのですが、以下の本を読めば移行方法などは載ってますかね？

http://ec.nikkeibp.co.jp/item/books/A04600.html

また、参考になる本、サイトなどがあれば教えていただければ嬉しいです。
よろしくお願いします。

[0648 名無し~3.EXE 2010/10/10(日) 22:01:01 ID:yL3TgJQ2]

>>647
ttp://primeserver.fujitsu.com/primergy/technical/construct/#ad01

その参考書には具体的な移行に関する記述はないんじゃないの。
概要くらいは書いてあるかも知れないが。目次にもアップグレードしかないし。

[0649 名無し~3.EXE 2010/12/05(日) 21:35:10 ID:oUc33t6T]

Exchange Serverスレッドですよん（；；）
http://hibari.2ch.net/test/read.cgi/win/1049567372/

Windows Server 2008／2008R2 Part2
http://hibari.2ch.net/test/read.cgi/win/1268134563/

Small Business Server 2000/2003のスレ
http://hibari.2ch.net/test/read.cgi/win/1157930777/

Windows Home Server その10
http://hibari.2ch.net/test/read.cgi/win/1284795029/

Windows Server 2003/2008をデスクトップOSに 9
http://hibari.2ch.net/test/read.cgi/win/1245235559/

[0650 名無し~3.EXE 2010/12/08(水) 12:22:34 ID:CL8NKRH8]

AD+ローカルDNSが設定されたドメインがあります。
サーバーはWin2000で、かつて実機がハード故障でトラブルを起こしたとき、
そのままの構成でVMwareのクライアントに移動して稼動しています。

ユーザーも多くなく、どうしても必要な共有ポリシーもありません。2008の購入予定もありません。
リソースの共有等についてはsamba共有等で足りているので、そろそろADの使用を終了したいのです。
とはいえ、ADのサーバーを停止すると、当然ユーザーのデスクトップへのログイン認証ができなくなります。
そうしたトラブルを最小限に、ADの使用を円滑に終了させるためのノウハウはないでしょうか。
MSのサイトからは、この種の知見が得られないので、よろしくお願いします。ポインターでもかまいません。

[0651 名無し~3.EXE 2010/12/08(水) 20:29:03 ID:Nhpqsl92]

PCローカルにユーザ作って
moveuserコマンドで
PC上のユーザプロファイルの所有者を
ドメインユーザからPC上のローカルユーザへ変更するのはどうでしょうか。

[0652 名無し~3.EXE 2010/12/09(木) 11:20:36 ID:t5RLEPYV]

>>651
moveuserを使う場合、１台ごとに作業しなければいけないですよね。
各ユーザーが全て自分でできて、結果の責任もとってくれるならいいんですが。
おそらく、一つ一つのPCにAdministratorが入って作業しなければならなくなります。
できればそれは勘弁してほしい、最後の手段としておきたいと思っています。
というか、それをするくらいだったら、現状維持しようと考えているので。

ドメインからワークグループへのダウングレードって、需要はないんですかね。
ADやLDAPなどのパスワード認証サーバによる管理が必要な状況はわかりますが、
現在の規模では、VNCやRDPが使えたり、SMBでの共有ができれば問題ないので、
MSのサポートが終了したWin2000Serverを、これだけのため使い続けたくないのです。

[0653 名無し~3.EXE 2010/12/09(木) 16:56:29 ID:c5Bd9ahy]

dccpromoで出来ないの？

[0654 名無し~3.EXE 2010/12/09(木) 19:29:10 ID:yNIFcGhz]

sambaでも何でも、ワークグループ環境で読み書きできるアクセス権の共有作って、
期限切って必要なデータは各自コピーさせれば良いだろ。期限が来たらDCそのまま止めて終わりだよ。

どうせユーザも少ないんだろうしEveryoneフルにして、DC停止後のユーザなんて好きにさせればいい。
最低限adminで所有権奪取すればアクセス権なんていくらでも書き換えられるんだから。
そうも行かない事情があるなら、そのくらい自分で考えたらいい。

[0655 名無し~3.EXE 2010/12/15(水) 19:41:13 ID:eHnqtmel]

Windows転送ツールとか使えるのかな

[0656 名無し~3.EXE 2010/12/20(月) 13:09:42 ID:FsWujbks]

Windows2000 Serverを無意味で使ってる人集合！
http://hibari.2ch.net/test/read.cgi/win/1100312681/

[0657 名無し~3.EXE 2010/12/27(月) 14:29:42 ID:yBoiqlWF]

2008 R2グループポリシー
コンピュータの構成で、データソースに追加した設定が、
管理ツールのODBCに反映されません。
クライアントはWin7で、GroupPolicy EventID:4098が出ています。

ログには「0x80004005 エラーを特定できません」となっていて、
このコードは権限不足だというところまでは調べたのですが、
権限を付与するにはどうすればいいのでしょうか。

[0658 名無し~3.EXE 2011/01/23(日) 23:40:10 ID:+59/OBIw]

ADのGPを使い、時間でユーザアカンントをロックするようにし、PCに再度ログイン
するにはそのユーザのパスワードが必要に設定しました。
管理者が強制的にそのPC上のユーザのロックを解除するにはどうすれば
よいのでしょうか。
AD上でそのユーザのアカウントのロックをみたらロックにチェックは
はいておりません。
よろしくお願いします

[0659 名無し~3.EXE 2011/01/24(月) 08:24:15 ID:ZZsRxfLz]

>>658
アカウントロックと画面のロックがごちゃごちゃになってる気がする。

[0660 名無し~3.EXE 2011/01/24(月) 23:45:27 ID:uW70etbK]

ありがとうございます。
画面のロックです。
強制的に管理者ユーザーでログインすると、事前にロックしていたユーザ
はログオフし事前に起動していたAPLは終了するので、何とか
よい方法をとおもったが、やはり無理か.....

[0661 名無し~3.EXE 2011/01/25(火) 09:30:35 ID:bwLemtd/]

パスワード変えればいいじゃない
いいじゃない

[0662 名無し~3.EXE 2011/01/26(水) 21:47:49 ID:X6cHBYWY]

Terminal Serviceとかだと、セッションの管理方法を　ユーザとの対話　と　ユーザの監視　とかで選べた気がするけど、
その辺のオプションってActive Directoryにもあるのかなー‥。

あまり需要がない気もするけど。

[0663 名無し~3.EXE 2011/02/19(土) 12:13:57 ID:050zWEKD]

Win2003R2 AD上のセキュリティGrの項目にある、電子メールのパラメータに
メールアドレスを入れたいのですが、コマンドなどで自動で入力する方法が
あったら教えてください。

dsmod group、dsadd groupだとオプションコマンドが無いようです。
何か方法論だけでもいいので、お願いします。

[0664 663 2011/02/19(土) 13:38:21 ID:050zWEKD]

自己レスです。
どうやらVBScriptで組めば、属性直撃で変更できることがわかりました。
まだ細かく作りこんでいませんが、簡易でmail属性に情報を入力できました。

こちら参考にしたリンクです。
ttp://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=39095&forum=6

お騒がせしました。

[0665 ◆3JIWgZVTYs 2011/06/03(金) 01:54:43.87 ID:NKtzFBH7]

ＡＤサーバ（WindowsServer2003）、クライアントＰＣ（WindowsXP(SP3)、IE8）
という環境で、会社内の情報系ＰＣの管理をしています。
クライアントＰＣのＩＥのプロキシサーバの設定をＡＤのグループポリシーで
やっています。
あるユーザが
ＩＥの「インターネットオプション」→「詳細設定」→「リセット」を
実行したところ、プロキシの設定が外れてしまいました。
「クライアントのリセットボタンの方がグループポリシーより優先なのか？？」
と調べてみたところ、
Microsoftのサポートページ（http://support.microsoft.com/kb/923737/ja）
に解説があり、この点は理解できました。

[0666 ◆3JIWgZVTYs 2011/06/03(金) 01:58:22.46 ID:NKtzFBH7]

（続き）
問題はこの状態の修復です。
上記ページの説明に従い、クライアント側のグループポリシーエディタで
修復しようとしたのですが、ＧＰエディタの画面に該当する設定項目が
表示されません。
具体的には「コンピュータの構成」→「管理用テンプレート」の下には、
「Windows Components」と「Windowsコンポーネント」の２つしかありません。
この現象が確認できたのは、今のところ、このユーザが使用している機種
（NEC MY30Y/G-G）だけです。
他の機種で実験してみたところ、プロキシの設定が外れるところも再現し、
ＧＰエディタも「管理用テンプレート」の下に「Windows コンポーネント」
「システム」「ネットワーク」「プリンタ」の４つが表示されるので、
サポートサイトの指示通りに修復できました。

[0667 ◆3JIWgZVTYs 2011/06/03(金) 01:59:28.07 ID:NKtzFBH7]

（続き）
長くなりましたが、当該機種のＧＰエディタに「システム」が表示されない
理由とその修正方法が知りたいです。

よろしくお願いします。

[0668 名無し~3.EXE 2011/06/03(金) 10:16:43.95 ID:TXbzPh+r]

ユーザーの構成→windowsの設定→接続→プロキシの設定
が探せないのかなと思ってよく読んだら違うのね

テンプレートが削除されてるんじゃないかな？
管理用テンプレート右クリックでテンプレートの追加と削除があるから
system.admを追加すればいいと思うよ

しかしせっかくADあるのになんでクライアントで1台1台設定してるんだろう？

[0669 ◆3JIWgZVTYs 2011/06/04(土) 02:14:38.68 ID:8mKzPnWd]

しかしせっかくADあるのになんでクライアントで1台1台設定してるんだろう？>668
テンプレート追加で解決しました。
system.admを追加したら、同じものが２つ表示されるなど妙なところはありましたが、
何しろ[Internet Explorer のメンテナンス ポリシーの処理] まで辿りつけたので、
ＭＳのサポートの指示通り、これを「有効」にすることでプロキシの設定が
元の通りに戻りました。
大感謝です。ありがとうございました。

＞しかしせっかくADあるのになんでクライアントで1台1台設定してるんだろう？
これは何を指しているのでしょうか？
ＡＤでできることをクライアントごとにやっていることはないつもりです。
気になるところがあったら指摘して頂けると助かります。

今回懲りたので、ＩＥのリセットボタンは押せないようにＧＰを追加しようと
思っています。

[0670 ◆3JIWgZVTYs 2011/06/04(土) 02:16:18.63 ID:8mKzPnWd]

すみません、コピペをミスりました。
最初の１行は不要です。ｍ（＿＿）ｍ

[0671 名無し~3.EXE 2011/07/07(木) 15:41:38.29 ID:5QwuLQ3G]

ActiveDirectory環境で、ユーザー・グループの設定またはグループポリシーで、
あるユーザーやグループで印刷および外部媒体出力を完全に制限する方法を探しています。

IEのみ印刷禁止などの設定や、
プリンタ追加の制限
といった項目は見つかりましたが、
印刷そのものを禁止するような項目が見当たりません。
外部媒体出力についても同様。

なにかスマートな方法無いですか？

[0672 名無し~3.EXE 2011/07/07(木) 21:42:35.69 ID:b2+hVUWQ]

プリンタにもアクセス権があるのでそれで可能だと思う

[0673 名無し~3.EXE 2011/07/10(日) 23:56:48.33 ID:1i2lubXz]

インストールで失敗するんだけど、シューティングが見つからない。
シューティングの場所 or 原因を教えてもらえますか？
Windows Server 2008 R2 Server Core でインストール

[症状]

"Active Directory ドメイン サービスをホストするために
ローカル コンピュータを構成しています"

のところで止まる。"."がずっと続いて止まらない。
Server Coreでも、フルインストールでも変わらない。

[0674 名無し~3.EXE 2011/07/11(月) 19:55:25.76 ID:Tbb103S6]

実サーバ？仮想化？

例えば、仮想化サーバなどへRDC接続などでうまくいってないんだったら、コンソールから作業してみるとか？

[0675 名無し~3.EXE 2011/07/12(火) 06:31:52.66 ID:FXlZ9qmK]

>>673
追加サービス無しでインストールしてからADを追加するとか

[0676 名無し~3.EXE 2011/07/13(水) 21:56:12.32 ID:8gh9djNR]

>>672
補足するなら、ネットワークプリンタか、ローカルプリンタかで設定方法が変わる。

[0677 名無し~3.EXE 2011/09/26(月) 15:29:18.98 ID:Wu/QfaP9]

セキュリティグループにコンピューターアカウント所属させて
コンピューターのグループポリシーの適用ってできないんだっけ？

[0678 名無し~3.EXE 2011/09/27(火) 19:54:42.65 ID:f+KSv8A5]

>>677
そのセキュリティ・グループが OU に入っていて、
その OU に GPO が何らかの形でリンクされているなら GPO は効く。

[0679 名無し~3.EXE 2011/09/27(火) 23:59:16.68 ID:JUbCPm9S]

>>678
だよねぇ
セキュリティグループに入れてるのがコンピューターアカウントだけなせいなのかうまく掛からない
ユーザーアカウントの場合はちゃんと動くんだがー

ちなみに環境は2008R2でgpresultしたらセキュリティグループに入ってる表示はあるのに
ポリシーは除外されたわけでもなく表示されない
フィルタでAuthenticated Usersだけだとコンピューターアカウントは含まれないのかな？

[0680 名無し~3.EXE 2011/11/15(火) 07:19:15.58 ID:gU9NCHmQ]

現在DNSにpc1.aaa.ne.jpとなっているIPのPCは、bbb.ne.jpというADに参加するとpc1.bbb.ne.jpになるのでしょうか？
それとも2つのFQDNを持つことになるのでしょうか？

[0681 名無し~3.EXE 2011/11/15(火) 09:29:25.12 ID:UrLvR4ke]

DNSだけで考えると可能でしょうな

AD参加はOSがwindowsなら１ドメインだけのはず
他のOSは知らん

[0682 名無し~3.EXE 2011/11/23(水) 12:13:58.59 ID:nwtiGPYP]

電波テロ装置の戦争(始)
魂は幾何学、コピー出来る公安はサリンオウム信者の子供を40歳まで社会から隔離している
オウム信者が地方で現在も潜伏している
それは新興宗教を配下とする公安(慶應卒T)の仕事だ発案で盗聴器を開発したら霊魂が寄って呼ぶ来た
<電波憑依>
スピリチャル全否定なら江原三輪氏、高橋佳子大川隆法氏は、幻聴で強制入院矛盾する日本宗教と精神科
<コードレス盗聴>
2004既に国民20%被害250〜700台数中国工作員3〜7000万円2005ソウルコピー2010ソウルイン医者アカギ絡む<盗聴証拠>
今年５月に日本の警視庁防課は被害者SDカード15分を保持した有る国民に出せ!!<創価幹部>
キタオカ1962年東北生は二十代で2人の女性をレイプ殺害して入信した創価本尊はこれだけで潰せる<<<韓国工作員鸛<<<創価公明党 <テロ装置>>東芝部品)>>ヤクザ<宗教<同和<<公安<<魂複<<官憲>日本終Googl検索

[0683 名無し~3.EXE 2011/11/28(月) 08:50:59.98 ID:duYI6W52]

Microsoft.NET Framework の machine.config がドメイン参加によって
読み取りすらアクセス拒否されるようになってしまうんですが
何が原因かわかりません・・・ので教えてください。

C:\Windows\Microsoft.NET\Framework\v2.0.50727\CONFIG\machine.config

で、アクセス許可リストには SYSTEM、Administrator、Administrators(Domain Usersが所属) があって、
ログオンユーザはDomain Usersに所属してます。所有者が「所有者が表示できません」になってます。

でも同フォルダの machine.config.default は、ちゃんとアクセスできるという、よくわからない状況です。
UAC関連？

[0684 名無し~3.EXE 2011/11/29(火) 01:38:01.60 ID:nO7IsbZt]

Administrators(Domain Usersが所属) ？？？

ファイルにDomain Users付けてみたら？

[0685 名無し~3.EXE 2011/11/29(火) 16:18:04.12 ID:lfGdEMkP]

任意のドメインユーザにローカルPCを好きにさわらせる為に
AdministratorsにDomain Usersを追加してます。

Domain Users つけたらうまく行くんですが、なぜドメイン参加前後でアクセス可/不可の
ファイルができるのか理解できないもので。

[0686 名無し~3.EXE 2011/11/29(火) 18:24:03.27 ID:OnHnjKpM]

Usersが無いのはなんででしょ
親から継承されてないのかな？
所有権をAdministratorsで継承しなおせばいいんじゃないかと

[0687 名無し~3.EXE 2011/12/02(金) 21:29:11.37 ID:c7Xp7nj2]

プリントサーバ＋AD機能でプリンタを公開してるんですが、
フルカラー/白黒の設定を全ユーザに一括反映させる方法ってありますか？

ようは、カラーと白黒の2種類のプリンタデバイスを公開したいんですが、
基本設定のカラー設定（フルカラー/グレースケール/2色）はクライアント保持のようで
サーバだけ設定しても反映されないという。

[0688 名無し~3.EXE 2011/12/03(土) 09:02:52.17 ID:HcXgUEzj]

詳細設定の標準設定だったかな

[0689 名無し~3.EXE 2011/12/03(土) 22:23:31.48 ID:rYJZXM20]

>>688
おおおおおー、ありがとございます。
やってみます。