Windows★Active Directoryｽﾚ

**チーママ** · 04/07/24 18:24

なかったので立てました。
管理者のみなさん、一緒にお話しませんこと？

**名無し~3.EXE** · 2005/04/04(月) 20:50:08

>>61
そんなことないよ

**名無し~3.EXE** · 2005/04/08(金) 23:03:50

NTドメインしか立たないから却下

Win2003ネイティブAD対応でグループポリシーがちゃんと使えるんならいいけど

**名無し~3.EXE** · 2005/04/15(金) 22:08:06

ActiveDirectoryにユーザーの流し込み（パスワードも）を
したいのですが何か方法ありますか？
ＣＳＶＤＥだとパスワードが流し込みできません…。
良いツールないですかね。

sa · 2005/04/15(金) 23:42:22

ううう

**名無し~3.EXE** · 2005/04/16(土) 20:30:02

admt

**名無し~3.EXE** · 2005/04/17(日) 17:29:45

>>64
WindowsNTでユーザアカウントにパスワード付ける方法がWindows2000でも使用できるよ。

**名無し~3.EXE** · 2005/04/17(日) 23:55:47

>>67
ちなみに2003ActiveDirectoryなんですが。
NTでユーザーアカウントにパスワードつける方法ってどうやるんですか？
あんまりNT4.0はふれたことなくて…。

**名無し~3.EXE** · 2005/04/20(水) 11:50:54

ttp://www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/ja-jp/Default.asp?url=/resources/documentation/WindowsServ/2003/standard/proddocs/ja-jp/dsadmin_users_add.asp
これの事じゃないかな？

**名無し~3.EXE** · 2005/04/23(土) 16:28:59

移動プロファイルを使ってるんですが、
クライアントのWinowsが強制終了したときなどのために
定期的に内容をDCに反映させることなどはできないのでしょうか？

**名無し~3.EXE** · 2005/04/25(月) 22:38:21

Active Directory ドメインコントローラー 2 台（以降 DC1、DC2）、
その他約 10 台のクライアントコンピュータで LAN を構成している者です。

ゲートウェイはすべて同一で、DC1 に外向き用 DNS、DC2 に内向き用 DNS を
構成させています。
この構成で暫く使っていたのですが、最近になって突然 DC2 → DC1 にアクセス
できなくなってしまいました。

エクスプローラで共有フォルダにアクセスしようとすると、
「\\DC1\C にアクセスできません。
ログオンエラー：対象のアカウント名は間違っています。」
が返ってきてしまいます。

DC1 → DC2、その他クライアントマシンからの DC1/DC2 アクセスには問題ありません。

どなたか同じようなトラブルを解決された方がいらっしゃいましたら、
ご教授お願いいたします。

**名無し~3.EXE** · 2005/04/27(水) 00:18:45

>>71
違うと思うけど、似たようなことがあったんでいちお。
IP使って例えば \\192.168.123.1\共有フォルダ名とかだとどうです？
もし、これでアクセスできるなら、下のがちょっと怪しいかも。
http://support.microsoft.com/default.aspx?scid=kb;ja;826902
自分のところは、DC関係なく対クライアントでもアクセスできなくなっちゃってたんだけど。

**名無し~3.EXE** · 2005/04/27(水) 15:51:57

>>71 で質問させていただいた者です。

>>72
IP 指定だと共有フォルダを参照することができたので、張っていただいた
リンクを元に試してみたところ、アクセスできるようになりました。
暫くこれで様子を見てみたいと思います。

情報提供ありがとうございました。

**名無し~3.EXE** · 2005/04/27(水) 22:17:05

>>73
長期的にみてみないと解決したかが分からないものの、
参考になったみたいで良かったです。
自分のところもちょっと症状が違ったものの、今のところ順調で。
お互いこれで問題解決といきたいものですね。ではでは。

**名無し~3.EXE** · 2005/05/01(日) 23:24:29

>>74

>>71-73
一時的には無事アクセスできたのですが、一日程度経過するとまた同じ
エラーが発生してしまいました。
再び解決策を模索中です...。

**名無し~3.EXE** · 2005/05/28(土) 17:46:34

無線LAN環境でドメインログオンしたいんですが、
ログオン前は無線LANが繋がっていないようでログオンできません。
どうすれば無線LANでもドメインにログオンできますか？

板違いなら移動します。

**名無し~3.EXE** · 2005/07/07(木) 10:31:13

DirectoryEntry()の使い方について教えてください。

pathだけを指定した場合は成功するのですが、
username/passwordも指定すると、
「要求された認証方法はサーバがサポートしていません」
とエラーになります。

何か解決策はあるのでしょうか？

**名無し~3.EXE** · 2005/10/21(金) 11:01:49

win2003serverをDCにしてADを組んでいるのですが、
各ユーザの最終ログイン時刻を一覧取得したいと思い、
>>35さんの方法でCSV取得したのですが、
18bitの整数で表示されてしまいます。
正しい日時に変換する方法は有りませんでしょうか？

**名無し~3.EXE** · 2005/10/26(水) 21:30:44

ここに書けばいいか
すみません教えてください

1.NTドメインからActiveDirectoryの環境移行で
クライアントのユーザプロファイルの移行ってどうするんでしょう？
システムの詳細設定からコピーはできるみたいだけど・・・
例えば旧ドメインと新ドメインで使用するユーザ名が違ったどうするんでしょう？？

2.ＮＴドメイン上のファイルサーバを新ドメインに入れたら信頼関係さえ結んでいれば
旧NTドメイン内のユーザも問題なくアクセスできますか？？

**名無し~3.EXE** · 2005/11/15(火) 15:15:30

単純なシングルドメインモデルのPDCを、
Windows2000Serverから2003EEにアップグレードしました。
（BDCとかはいません)
そしたら、↓エラーが５分おきにでます。なんで？

グループポリシーのクライアント側拡張子 Security は RSOP (ポリシーの結
果セット) データのログの記録に失敗しました。この拡張子で以前に発生した
エラーを確認してください。

詳細な情報は、http://go.microsoft.com/fwlink/events.asp の [ヘルプとサ
ポートセンター] を参照してください。

**名無し~3.EXE** · 2005/11/15(火) 15:19:22

link先の↓は、やってみたけど、効果なしです。。

Review the Event Viewer for events logged by WMI and, if appropriate,
the Group Policy client-side extension (CSE) that cannot log the RSoP data.
Verify that the WMI service (winmgmt) is running.
Click Start, click Run, type wbemtest.exe, and then click OK. Verify
that you can access the root\rsop namespace on the affected computer.
At the command prompt, type gpupdate, and then look in Event Viewer
to see whether the event that caused the error or another WMI-related
event is logged again. If the problem still exists, stop and then
re-start the Winmgmt service.
Use verbose logging to debug this error. The log file explains the
specific error.

**名無し~3.EXE** · 2005/12/06(火) 16:36:52

質問です。

2000 ServerとXPクライアントでADを運用しています。
ポリシーでログオン時にメッセージを表示しようと
思うのですが、2000上では1行しか設定できません。
XPや2003のように複数行を設定する方法はありますか？

**名無し~3.EXE** · 2005/12/29(木) 02:18:53

物理的にも離れている２つの拠点にネットワーク環境があって、それぞれが独立した
ActiveDirectoryとして構築されている場合、たとえばAD001とAD002だとして、
ノートPCを行ったり来たり持ち運んでそれぞれのActiveDirectoryに参加させる
と、ActiveDirectory参加の手間がかかる上プロファイルもどんどん増えて
すごく効率悪いんですが、良い方法はありませんか？　拠点間にどうしてもネット
ワークがつなげない前提で。

**名無し~3.EXE** · 2006/02/16(木) 01:52:57

な、なんて廃れたスレだ…

**名無し~3.EXE** · 2006/04/16(日) 02:53:42

Active Directory!!

**名無し~3.EXE** · 2006/04/17(月) 21:44:48

グループポリシーってどうよ？

**名無し~3.EXE** · 2006/04/21(金) 09:04:12

何がどうよ？なのかよくわからんが、レジストリベース（ユーザとコンピュータね）で設定できる項目は
基本的に何でもガリッと変えられるから便利に使ってるが。

**名無し~3.EXE** · 2006/04/22(土) 15:23:43

ちょっと質問です。

社内Webアプリケーション(webサーバはdomino)を運用してるのですが、シングルサインオンを実現させる為に、
ActiveDirectoryからユーザ/パスワード情報を取得したいと考えています。

クライアントのブラウザからADに対してユーザ/パスワード情報を問い合わせることは可能でしょうか。
webサーバは事情によりドメイン参加できません。

**名無し~3.EXE** · 2006/04/22(土) 15:51:14

できないことはないんじゃない？
TechNetに載ってるVBScriptをコピペして試してみれば良いじゃん。
あとはIEのセキュリティ設定次第じゃないかな。
パスワードはあってるかどうかだけ問い合わせできたキガス。

88 · 2006/04/22(土) 16:20:00

>>89
レスどうもです。
実装する立場にないので試したりできないのですが、ちょっと実装部隊に相談してみます。
TechNetで探してみたのですが、パスワードあってるかどうか確認するスクリプトってあります？

**名無し~3.EXE** · 2006/04/22(土) 16:51:41

ないかも。そもそも管理者権限がないクライアントからスクリプトを実行する際は、
ADSIならUserObjectをハンドルするオブジェクト（IAdsUser)を開くメソッド（OpenDSObject）に
パスワードが必要で、その結果で判定できるんじゃない？

88 · 2006/04/22(土) 17:29:17

>>91
む、難しすぎてわかりません＿|￣|○
でもありがとう。

**名無し~3.EXE** · 2006/04/22(土) 18:18:24

>92
ADSIでの実装の話だから用語はややこしい。
TechNetので応用が利くやつはあると思うけど。あとは実装部隊ガ。
とりあえず.vbsとか.wsfで検証して、次にWEBで検証してみないことにわ。
クライアントのIEにそもそもセキュリティポリシーが適用されていて、
スクリプト実行禁止～とかなってるとそもそも無理っぽいけど。

88 · 2006/04/22(土) 20:12:19

>>93
度々レスどうもです。
実装部隊のほうが「ん～、そんなことできるかなぁ」と言ってたので調べてた次第です。
IEのセキュリティポリシの方は確か大丈夫だったと思います。

ADAM使えばできるかもとか言われたのですが、調べた限りでは難しそうな感じが・・・
実装部隊のスキルにもよるんですかね。私としては全面的に信頼してるんですけど。

88 · 2006/04/22(土) 20:12:53

あら、ID変わっちゃった。

**名無し~3.EXE** · 2006/04/22(土) 21:11:19

グループポリシーは確かに便利
でも、後から後からどんどん設定上書きしていくと・・・

痛い目にあいました
ポリシーは最初で固めないとね

**名無し~3.EXE** · 2006/06/03(土) 12:46:19

異なるADから移動プロファイルをコピーしようと試みています。
権限や所有者をコピー先の該当するUserIDへ変更すれば可能でしょうか。
どなたたご存知であれば教えてください。

**名無し~3.EXE** · 2006/06/04(日) 06:00:52

試みてみたんならわかると思うが、NTFSアクセス権だけに依存してるわけじゃないからダメ。

**名無し~3.EXE** · 2006/06/04(日) 08:41:03

>>98
お返事ありがとうございます。
NTUSER.DAT等にも依存しているのでしょうか。
どちらかというと、クライアントPCのローカルに保存されている移動プロファイル
を新しいADサーバへコピーした方が無難でしょうか。

**名無し~3.EXE** · 2006/06/04(日) 11:03:33

ドメコンがWin2003R2で、クライアントがXP Proで、
ドメインにログインしたときはクライアントのローカルディスクに
書き込みできないようにって簡単にできますか？

調査段階で、実際構築できないので
ネットで調べたりしてるんですが、今イチこれって
記事が見つからなくて

**名無し~3.EXE** · 2006/06/04(日) 17:26:12

>>99
できるんじゃない？
ADMTで移動プロファイルの変換ってできたようなきがする

**名無し~3.EXE** · 2006/06/04(日) 20:24:53

> ADMTで移動プロファイルの変換ってできたようなきがする

まぁ、ADMTで変換はできるけど、いろいろと面倒くさいよ。>>97がそこまでの要件を持っているのか知らないけど。
まず双方向で信頼関係を設定して（他にもいろいろあるけど）アカウントの移行をしないと変換はできないはず。
ADMTはアカウント移行に関してオブジェクトの持つSIDの更新（追加、置換、削除）を補助してくれる。

移行後に移動プロファイルを格納するサーバの更新処理と、クライアント端末の更新処理を
行っておけば同じパスのプロファイルを異なったドメインで引き続き利用できるし、別の場所へ
コピーして使っても問題ないだろう。細かい動きはMSの記事を参照。

http://www.microsoft.com/technet/prodtechnol/windows2000serv/deploy/cookbook/cookch10.mspx

あと、移行元ドメイン側のアカウントがサーバ上の移動プロファイルの所有者になっている時は
2000 SP4、XP SP1以降ではADMTで更新をかけても所有者チェックに引っかかるから気を付けるべし。

**名無し~3.EXE** · 2006/06/04(日) 23:08:59

>>101 >>102
ありがとうございました。
もう少し検証してみます。

**名無し~3.EXE** · 2006/06/05(月) 16:57:01

チップからMPEG2デコーダ外されてるからソフトのより余計重いですけど

c · 2006/06/10(土) 01:30:03

おまいらAD使ってないんだね。orz

ところでクライアントの設定で、IP的に別のサブネットのDNS(DC)を設定しても問題無いの？

鯖部屋を192.168.0.0/24にしといて、DCに192.168.0.200を割り当てて、
第一営業部を192.168.11.0/24、第一事業部を192.168.21.0/24にしても
DCのIPアドレス(192.168.0.200)さえ、各部署のPCのDNSに設定さえ(DHCPで配ってもいい？）すれば問題無し？

あと、第二営業部(192.168.12.0/24)や第二事業部(192.168.22.0/24)が、遠隔地の支店の場合でも支店にはDC用意し無くても平気？

**名無し~3.EXE** · 2006/06/10(土) 11:19:50

日本語でおながいします＞＜

**名無し~3.EXE** · 2006/06/11(日) 10:21:18

みなさんはActive Directoryどうやって勉強しましたか？

**名無し~3.EXE** · 2006/06/17(土) 17:04:51

某惑星で逆立ちして身に着けた。

**名無し~3.EXE** · 2006/06/17(土) 17:48:30

左手にティッシュを握りしめ深夜に自分のベッドの中でこそっと

**名無し~3.EXE** · 2006/06/19(月) 12:51:49

徹底的にハードなインストールを繰り返して

**名無し~3.EXE** · 2006/06/25(日) 13:11:57

やっぱオナニーは想像の世界、実体験がものをいうのだ。

**名無し~3.EXE** · 2006/06/29(木) 19:54:05

すんません、ユーザがドメインにログオンした履歴ってどこかのログで見れるのでしょうか？

**名無し~3.EXE** · 2006/06/29(木) 23:33:35

DCのイベントビュアのセキュリティとかのこと？
グループポリシーの設定によってもログがみれる／みれないは
変わるかも。デフォルトでは、「Default Domain Controllers Policy」
の監査ポリシーは「成功」しかチェックがないようだ。
複数DCがあるとどうなんだろうね。

**ひらぽん** · 2006/06/30(金) 00:06:11

2003R2の新機能である DFS-Rの検証をしているんだが、
この時ドメインの名前空間を利用していますが、ADは普通の2003Serverでも
問題ないですか？もちろんADprepでスキーマ拡張済み。
問題なく動いているように見える。誰か知ってる？
あと、フォルダターゲットを追加するとき、ブラウジングで追加しようとすると
いつもtest.com（検証ドメイン名)が、コンピューターのように認識した以下の
エラーがでて、ブラウジングできない。この対処方法も知ってる人教えて
－エラー内容
「コンピュータ"test.com"がドメインに参加しているかどうかを判断できないため、必要なダイアロ
グボックスを開くことができません。このメッセージを閉じてからやり直してください」

DNSにドメインとしてしか登録されていないので、当然だと思うのだが、このあとRPCのエラーがでる

**名無し~3.EXE** · 2006/06/30(金) 11:39:22

>>112
ログオンスクリプトだと分かりやすいです。
ttp://www.monyo.com/technical/windows/35.html

ついでに質問です。（2000Server）
管理者のEFSファイル回復の証明書が期限切れになったらしく、
クライアント上で暗号化ができなくなってしまいました。
どうすれば証明書を有効にできるのでしょうか？
使い方が間違っているのかもしれませんが、
証明書サービスとかで適当に証明書を発行してもダメでした・・・。

**名無し~3.EXE** · 2006/07/02(日) 23:06:36

混じれ酢。
諦めましょう。

**115** · 2006/07/03(月) 16:41:50

>>116
Σ(ﾟДﾟ;)
あきらめるしかないですかorz
利用頻度は低いから影響は少ないけど、
ユーザーへの説明がﾏﾝﾄﾞｸｾ

**名無し~3.EXE** · 2006/07/18(火) 00:17:38

ドメインにUSB記憶装置使用禁止のグループポリシーを設定したのですが、
ローカルでログインした場合でもこのポリシーが適用されている模様です。

これは通常通りなんでしょうか？

**名無し~3.EXE** · 2006/07/22(土) 07:27:32

>>118
通常通り

**118** · 2006/07/24(月) 00:47:59

>>119さん
ありがとうございました！！

**名無し~3.EXE** · 2006/08/02(水) 16:24:08

HOMEエディッションでＡＤのパス変更できませんか？

**名無し~3.EXE** · 2006/08/06(日) 13:27:44

>>121
そもそもADに参加できない

**名無し~3.EXE** · 2006/08/07(月) 13:33:57

そうですよねー>>122
しかし，ADに参加しないMacでは出来るんですよぉ

**名無し~3.EXE** · 2006/08/07(月) 15:49:38

マカは氏んでいいよ。
XP Proが必要。

**名無し~3.EXE** · 2006/08/08(火) 23:00:27

多重ログオンを禁止したい

ログオンスクリプトを作り込んでやろうかと思ってるんだけど
現在ログイン中のユーザを表示できる方法ってない？
・ログイン中のユーザを表示できるコマンドとか
・VBScriptのこのオブジェクトを参照すればログイン中のユーザ一覧が得られるとか
・VBScriptのこのオブジェクトはそのユーザがログインしてれば1がセットされてるとか

自分で探しては見たけど見つからない・・・
Unix系OSで言うfingerコマンドみたいな
ことができるとログオンスクリプトでそのユーザが
ログイン中だったらログオフってのができると思うので。

あとは、ログオンスクリプトでファイル作って
ログオフスクリプトでそのファイル消すってのも考えたんだけど、
それだと
PC AにユーザXでログオン→ファイル作る
PC BにユーザXでログオン→ファイルあるからログオフ、だけどログオフ時にファイル消しちゃう
PC CにユーザXでログオン→ファイルないからログオンできる
ってなって結局多重ログオンできそうなので・・・

他によさげな方法ないかなあ？

**名無し~3.EXE** · 2006/08/09(水) 20:43:05

ログオン・ログオフスクリプトって動作に失敗するときないですか？
ログ取りしてるんですが、ログオンとログオフが対になってない奴が結構あるんですけど。

**名無し~3.EXE** · 2006/08/09(水) 21:35:53

ログオフせずにいきなり電源切ってるとか

**名無し~3.EXE** · 2006/08/09(水) 23:24:16

>>127
それはありえるけど、何故かログオンが存在しない場合もあるんです。
ちなみにスクリプトではログファイルの排他制御＆リトライもしています。（つもりかも・・・）

**名無し~3.EXE** · 2006/08/13(日) 07:02:57

>>128
ケーブル抜いてログイン後にケーブル繋げばスクリプトは走らない
ログインスクリプト使わなくても多重ログインは防げるわけだが

**125** · 2006/08/13(日) 14:05:19

>>129
>>126 >>128は俺じゃないです
でも多重ログインを防ぐ方法があるなら教えてもらえない？
全然思いつかない・・・

**名無し~3.EXE** · 2006/08/14(月) 23:53:10

多重ログインを防ぐ方法を漏れも知りたい。
そんなポリシーも見つけられなかったので仕方なくＧｉｎａを作りますた・・・・

**名無し~3.EXE** · 2006/09/12(火) 06:53:15

すいません。
質問です。

DCを二つ用意し、一方をプライマリ・もう一方をバックアップとして構築し、
承認・認証はバックアップサーバで行っている環境があるのですが、これは
どこで設定しているのでしょうか？
数日、MSのサイトやグーグルとかに御世話になったのですが分かりません・・・

利用するOSは両方ともWindows2003 Standardです。

**名無し~3.EXE** · 2006/09/12(火) 23:45:50

「マルチマスタ」で検索してみて。FSMOっていうのも要注意。
http://www.atmarkit.co.jp/fwin2k/operation/adprimer002/adprimer002_03.html

**名無し~3.EXE** · 2006/09/14(木) 04:38:06

>>133
ありがとうございます。
そこからきっかけとして以下の件が該当していました。

認証・パスワード変更・ユーザ名/コンピュータ検索はDNSのSRVレコードにより該当するサーバが行う
例）
(FQDN)._tcp._kerberos
(FQDN)._tcp._ldap
(FQDN)._tcp._kpassword

DNSレコードの全ての_kerberos(だったかな？）を修正することで認証サーバを変更することができました。

**名無し~3.EXE** · 2006/10/07(土) 13:00:25

質問です
AD移行中です。現在NTドメインで移動プロファイルを使用しています
移動プロファイルの変換はADMTで出来るのですが、移動プロファイルの格納サーバも変更となります

単純にコピーして、ADのユーザプロパティでパスだけ書き換えればよいですか？

**名無し~3.EXE** · 2006/10/09(月) 19:03:57

知らん

**名無し~3.EXE** · 2006/10/16(月) 19:00:33

移動プロファイルの質問です。

ドメイン内に所属する同一ユーザで複数台同時ログインを行ったとします。
（共有アカウントのようなイメージです）
この場合に競合するレジストリの編集を行うとどうなるのでしょうか？
後書き優先？

**名無し~3.EXE** · 2006/10/17(火) 20:03:26

移動プロファイルで共有？危険じゃない？

**名無し~3.EXE** · 2006/10/17(火) 22:03:59

>>115 cipher コマンド
俺も最近これで解決したから
あえて亀レス。

**名無し~3.EXE** · 2006/10/17(火) 22:15:32

>>137
移動プロファイルはログオフした時に書き出す。
違うアプリがインスコされいるＰＣにログオンすると
おもしろいことになるよ。

**115** · 2006/10/23(月) 11:35:27

>>139
情報thxです。調べてみるです。

**名無し~3.EXE** · 2006/10/31(火) 19:16:32

2003サーバーでActiveDirectory構築して、
移動プロファイルを生成して、
クライアントマシンでVisual Studio .net 2003を使いたいのですが、
Visual Studio .net 2003のデバッグを実行したら「ユーザーにマシンのDebugger User権限を与えてください」と出ます。
ドメインのグループにはDebugger Usersグループを追加していますが、
上記のメッセージが出てデバッグできません。

この設定をActiveDirectoryで一括設定するにはどこの設定をいじればよいのですか？

**名無し~3.EXE** · 2006/11/03(金) 01:45:38

メンバーサーバの移行ってみんなどうしてる？一発勝負？

**名無し~3.EXE** · 2006/11/03(金) 09:19:07

>>142
ドメインじゃなくて、個々のPCのローカル権限が無いのが原因じゃない？
PCにローカルアドミンでログインして、街頭のドメインユーザに権限を割り当てる。
いちいち個々のPCで作業なので面倒だが。

**142** · 2006/11/04(土) 17:10:45

>>144
レスサンクスです。
確かに各クライアントをいじればいいのでしょうが、
台数が増えることを考えると理想的な解決法ではないし、
なにか、ドメインコントローラー側で解決できないかなと探しています。

**名無し~3.EXE** · 2006/11/08(水) 22:15:11

>>145

制限されたグループ
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ja/library/ServerHelp/2715d832-fe71-47f7-86fd-412f013a40cd.mspx

日本語がわかりにくいので、設定例はここらへんで。

ユーザー定義のローカルグループの制限されたグループ ("所属するグループ") の動作に対する更新プログラム
http://support.microsoft.com/kb/810076/ja

**名無し~3.EXE** · 2006/11/29(水) 17:18:43

お世話になっております。
今Win2000ServerとWindowsServer2003R2を使用しています。

ActiveDirectoryで
WindowsServer2003R2の方にユーザーを追加したのですが
Win2000Serverの方に追加されません。

プライマリは多分Win2000Serverの方です。（確認方法不明）

強制同期の方法をご存知な方はお教えいただけないでしょうか？
またプライマリじゃないADサーバでユーザー登録すること自体
好ましくない行為だったりしませんでしょうか？

以上　RESをいただけますとありがたいです。

**名無し~3.EXE** · 2006/11/30(木) 00:37:18

ADの場合「プライマリ」でなく、「FSMO」などになるかと。

>またプライマリじゃないADサーバでユーザー登録する

FSMOでないDCで登録しても問題ないかと。

>強制同期の方法をご存知な方はお教えいただけないでしょうか？

こういうのですか？
ttp://www.atmarkit.co.jp/fwin2k/win2ktips/285adrepl/adrepl.html

ADの動作確認って、よくみえないというか、結構難しいようで、書籍では、
「Ａｃｔｉｖｅ　Ｄｉｒｅｃｔｏｒｙ障害対策ガイド」に
いろいろな例が出ているようです。

たとえば、windowsfirewallの設定や、DNSの設定不良だけでも同期できなる
ことがあるのでは？（まず、動作確認できないと、原因切り分けが難しい気が）

win2000向けとして「動作保証スクリプト（要activeperl、regdmp）」
がMSから出てるので、これを実行できると、なにかわかるかも。「Ｍｉｃｒｏｓｏｆｔ
Ｗｉｎｄｏｗｓ２０００Ｓｅｒｖｅｒリソースキット〈３〉分散システムガイド（上）」
には、CDにregdmpも入ってるし、記述も役立つかも（インストールCDの
Suport/Tool あたりを入れると、dcdiag、netdiag、などが使えるようになると思います）。

以上、初心者ながら予測でした。

**147** · 2006/11/30(木) 09:07:17

>148さん
RESありがとうございます。
微妙になんとかなりました。
お教えいただいたのを参考にまだまだ勉強します。
本当にありがとうございました。

**147** · 2006/11/30(木) 09:10:21

↑だけだと味気ないのでつけたしですが
「FSMOじゃない方」のActiveDirectoryのデータを消して
FSMOに登録したら「FSMOじゃない方」にもデータがコピーされて
うまく使えるようになりました。
という感じでですけど、、、
スレ汚し失礼しましたっ

**名無し~3.EXE** · 2006/12/02(土) 16:28:05

よかったですね。

ADのテストしてみてますが、サーバ起動後、～３０分～
たたないと安定しないといった話も聞きますし（動作保証スクリプト
にも、何か出てくる）、エラーの記録も再起動しないと消えなかったり、
問題なく使えていれば、動作ＯＫと思うほかないところもあるの
でしょうかね。

**名無し~3.EXE** · 2006/12/05(火) 13:58:17

ActiveDirectoryのドメインポリシを使って、レジストリの特定の値をロックってできます？
あるアプリの挙動の一部をユーザがコントロールできないようにするのが目的で、
レジストリの位置と値は見つけたんだけど。

http;//www.microsoft.com/japan/office/ork/two/admc02.mspx
を読むと、アクセス制御リストでコントロールできそうにも読めるんだけど、
やりかたがさっぱりわからないでいます。

Windows Server 2003 R2だから、上記のドキュメントにあるようにWindows 2000で可能なら
Windoes Server 2003 R2でもできると思うんだけどなあ。

**名無し~3.EXE** · 2006/12/06(水) 01:46:13

ユーザー名称は英文字と２バイト文字
どちらがいいのでしょうか？

２バイト文字は問題が起こる場合があるので、
英文字を勧めているというのが一般的のようなのですが、
皆さんはどうしていますでしょうか？

ｓｈａｒｅpｏｉｎｔで表示される「ｘｘさんようこそ」　で漢字で表示されると
うれしいものですが、英文字で表示されてもそっけない感じが・・・。

とはいえ、トラブルがないのを選びたいと思っています。　

**名無し~3.EXE** · 2006/12/09(土) 13:32:28

>>152
サーバの\windows\infにxxx.admを作成して、ADの管理テンプレートから追加
してポリシーを充ててる。

administrative template（拡張子がadm）か管理テンプレートで検索したら
ヒントが出てきた。

**名無し~3.EXE** · 2006/12/09(土) 13:48:34

IEのインターネットオプション->接続->LANの設定
「設定を自動的に検出する」のチェックを強制的に付けたいと思っています。

ActiveDIrecrtoryが動作しているサーバはWindows2003SV。
グループポリシーのユーザの構成->windows構成->InternetExplorerのメンテナンス->
->接続->自動ブラウザ構成（優先モード）->構成ファイルを自動的に検出する
にチェックを入れてもだめでした。
別なところで定義をするのでしょうか。

どうすればチェックを付けるように出来ますか。

**名無し~3.EXE** · 2006/12/10(日) 18:57:58

>>153
好きな方を使え。Exchange + Outlook の組み合わせなんかだと、ユーザプロパティの「説明」に日本語で姓名を入れておけば
sAMAccountName が英語でも Discription の方を表示してくれる。SharePoint がどうだかは知らん。

>>155
そもそもどこでポリシーを定義しているのか、対象のユーザオブジェクトがどこに格納されているのかによるので、答えようがないな。

**名無し~3.EXE** · 2007/01/29(月) 22:41:34

DCに設定したWindows2003にローカルアカウントの作り方を教えてください。

**名無し~3.EXE** · 2007/01/30(火) 06:23:37

無理。

**名無し~3.EXE** · 2007/02/07(水) 10:50:58

ユーザが共有フォルダにディレクトリやファイルを作成した時、
その作成者であってもアクセス権の設定を変更できないように
させることはできないでしょうか？

やりたいことというのは、
・アクセス権の変更をAdministrator以外はできないようにしたい
ってことなんですが、さすがにユーザが作成したファイルやフォルダの
所有者を強制的に作成者以外にするのは難しいですかね？

**名無し~3.EXE** · 2007/02/10(土) 12:51:15

対応できるのか？わかんないけど「共有アクセス権は「フルコントロール」ではなく
「変更」にする」とどう？

ttp://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=14260&forum=6&6

**名無し~3.EXE** · 2007/02/13(火) 09:28:12

デフォルトの所有者をadministratorにするしかないかも
「変更」にしても、所有者はどうにでもできちゃうし