Windows★Active Directoryスレ
なかったので立てました。 管理者のみなさん、一緒にお話しませんこと? NTドメインしか立たないから却下 Win2003ネイティブAD対応でグループポリシーがちゃんと使えるんならいいけど ActiveDirectoryにユーザーの流し込み(パスワードも)を したいのですが何か方法ありますか? CSVDEだとパスワードが流し込みできません…。 良いツールないですかね。 >>64 WindowsNTでユーザアカウントにパスワード付ける方法がWindows2000でも使用できるよ。 >>67 ちなみに2003ActiveDirectoryなんですが。 NTでユーザーアカウントにパスワードつける方法ってどうやるんですか? あんまりNT4.0はふれたことなくて…。 ttp://www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/ja-jp/Default.asp?url=/resources/documentation/WindowsServ/2003/standard/proddocs/ja-jp/dsadmin_users_add.asp これの事じゃないかな? 移動プロファイルを使ってるんですが、 クライアントのWinowsが強制終了したときなどのために 定期的に内容をDCに反映させることなどはできないのでしょうか? Active Directory ドメインコントローラー 2 台(以降 DC1、DC2)、 その他約 10 台のクライアントコンピュータで LAN を構成している者です。 ゲートウェイはすべて同一で、DC1 に外向き用 DNS、DC2 に内向き用 DNS を 構成させています。 この構成で暫く使っていたのですが、最近になって突然 DC2 → DC1 にアクセス できなくなってしまいました。 エクスプローラで共有フォルダにアクセスしようとすると、 「\\DC1\C にアクセスできません。 ログオンエラー:対象のアカウント名は間違っています。」 が返ってきてしまいます。 DC1 → DC2、その他クライアントマシンからの DC1/DC2 アクセスには問題ありません。 どなたか同じようなトラブルを解決された方がいらっしゃいましたら、 ご教授お願いいたします。 >>71 違うと思うけど、似たようなことがあったんでいちお。 IP使って例えば \\192.168.123.1\共有フォルダ名 とかだとどうです? もし、これでアクセスできるなら、下のがちょっと怪しいかも。 http://support.microsoft.com/default.aspx?scid=kb ;ja;826902 自分のところは、DC関係なく対クライアントでもアクセスできなくなっちゃってたんだけど。 >>71 で質問させていただいた者です。 >>72 IP 指定だと共有フォルダを参照することができたので、張っていただいた リンクを元に試してみたところ、アクセスできるようになりました。 暫くこれで様子を見てみたいと思います。 情報提供ありがとうございました。 >>73 長期的にみてみないと解決したかが分からないものの、 参考になったみたいで良かったです。 自分のところもちょっと症状が違ったものの、今のところ順調で。 お互いこれで問題解決といきたいものですね。ではでは。 >>74 >>71-73 一時的には無事アクセスできたのですが、一日程度経過するとまた同じ エラーが発生してしまいました。 再び解決策を模索中です...。 無線LAN環境でドメインログオンしたいんですが、 ログオン前は無線LANが繋がっていないようでログオンできません。 どうすれば無線LANでもドメインにログオンできますか? 板違いなら移動します。 DirectoryEntry()の使い方について教えてください。 pathだけを指定した場合は成功するのですが、 username/passwordも指定すると、 「要求された認証方法はサーバがサポートしていません」 とエラーになります。 何か解決策はあるのでしょうか? win2003serverをDCにしてADを組んでいるのですが、 各ユーザの最終ログイン時刻を一覧取得したいと思い、 >>35 さんの方法でCSV取得したのですが、 18bitの整数で表示されてしまいます。 正しい日時に変換する方法は有りませんでしょうか? ここに書けばいいか すみません教えてください 1.NTドメインからActiveDirectoryの環境移行で クライアントのユーザプロファイルの移行ってどうするんでしょう? システムの詳細設定からコピーはできるみたいだけど・・・ 例えば旧ドメインと新ドメインで使用するユーザ名が違ったどうするんでしょう?? 2.NTドメイン上のファイルサーバを新ドメインに入れたら信頼関係さえ結んでいれば 旧NTドメイン内のユーザも問題なくアクセスできますか?? 単純なシングルドメインモデルのPDCを、 Windows2000Serverから2003EEにアップグレードしました。 (BDCとかはいません) そしたら、↓エラーが5分おきにでます。なんで? グループ ポリシーのクライアント側拡張子 Security は RSOP (ポリシーの結 果セット) データのログの記録に失敗しました。この拡張子で以前に発生した エラーを確認してください。 詳細な情報は、http://go.microsoft.com/fwlink/events.asp の [ヘルプとサ ポート センター] を参照してください。 link先の↓は、やってみたけど、効果なしです。。 Review the Event Viewer for events logged by WMI and, if appropriate, the Group Policy client-side extension (CSE) that cannot log the RSoP data. Verify that the WMI service (winmgmt) is running. Click Start, click Run, type wbemtest.exe, and then click OK. Verify that you can access the root\rsop namespace on the affected computer. At the command prompt, type gpupdate, and then look in Event Viewer to see whether the event that caused the error or another WMI-related event is logged again. If the problem still exists, stop and then re-start the Winmgmt service. Use verbose logging to debug this error. The log file explains the specific error. 質問です。 2000 ServerとXPクライアントでADを運用しています。 ポリシーでログオン時にメッセージを表示しようと 思うのですが、2000上では1行しか設定できません。 XPや2003のように複数行を設定する方法はありますか? 物理的にも離れている2つの拠点にネットワーク環境があって、それぞれが独立した ActiveDirectoryとして構築されている場合、たとえばAD001とAD002だとして、 ノートPCを行ったり来たり持ち運んでそれぞれのActiveDirectoryに参加させる と、ActiveDirectory参加の手間がかかる上プロファイルもどんどん増えて すごく効率悪いんですが、良い方法はありませんか? 拠点間にどうしてもネット ワークがつなげない前提で。 何がどうよ?なのかよくわからんが、レジストリベース(ユーザとコンピュータね)で設定できる項目は 基本的に何でもガリッと変えられるから便利に使ってるが。 ちょっと質問です。 社内Webアプリケーション(webサーバはdomino)を運用してるのですが、シングルサインオンを実現させる為に、 ActiveDirectoryからユーザ/パスワード情報を取得したいと考えています。 クライアントのブラウザからADに対してユーザ/パスワード情報を問い合わせることは可能でしょうか。 webサーバは事情によりドメイン参加できません。 できないことはないんじゃない? TechNetに載ってるVBScriptをコピペして試してみれば良いじゃん。 あとはIEのセキュリティ設定次第じゃないかな。 パスワードはあってるかどうかだけ問い合わせできたキガス。 >>89 レスどうもです。 実装する立場にないので試したりできないのですが、ちょっと実装部隊に相談してみます。 TechNetで探してみたのですが、パスワードあってるかどうか確認するスクリプトってあります? ないかも。そもそも管理者権限がないクライアントからスクリプトを実行する際は、 ADSIならUserObjectをハンドルするオブジェクト(IAdsUser)を開くメソッド(OpenDSObject)に パスワードが必要で、その結果で判定できるんじゃない? >>91 む、難しすぎてわかりません_| ̄|○ でもありがとう。 >92 ADSIでの実装の話だから用語はややこしい。 TechNetので応用が利くやつはあると思うけど。あとは実装部隊ガ。 とりあえず.vbsとか.wsfで検証して、次にWEBで検証してみないことにわ。 クライアントのIEにそもそもセキュリティポリシーが適用されていて、 スクリプト実行禁止〜とかなってるとそもそも無理っぽいけど。 >>93 度々レスどうもです。 実装部隊のほうが「ん〜、そんなことできるかなぁ」と言ってたので調べてた次第です。 IEのセキュリティポリシの方は確か大丈夫だったと思います。 ADAM使えばできるかもとか言われたのですが、調べた限りでは難しそうな感じが・・・ 実装部隊のスキルにもよるんですかね。私としては全面的に信頼してるんですけど。 グループポリシーは確かに便利 でも、後から後からどんどん設定上書きしていくと・・・ 痛い目にあいました ポリシーは最初で固めないとね 異なるADから移動プロファイルをコピーしようと試みています。 権限や所有者をコピー先の該当するUserIDへ変更すれば可能でしょうか。 どなたたご存知であれば教えてください。 試みてみたんならわかると思うが、NTFSアクセス権だけに依存してるわけじゃないからダメ。 >>98 お返事ありがとうございます。 NTUSER.DAT等にも依存しているのでしょうか。 どちらかというと、クライアントPCのローカルに保存されている移動プロファイル を新しいADサーバへコピーした方が無難でしょうか。 ドメコンがWin2003R2で、クライアントがXP Proで、 ドメインにログインしたときはクライアントのローカルディスクに 書き込みできないようにって簡単にできますか? 調査段階で、実際構築できないので ネットで調べたりしてるんですが、今イチこれって 記事が見つからなくて >>99 できるんじゃない? ADMTで移動プロファイルの変換ってできたようなきがする > ADMTで移動プロファイルの変換ってできたようなきがする まぁ、ADMTで変換はできるけど、いろいろと面倒くさいよ。>>97 がそこまでの要件を持っているのか知らないけど。 まず双方向で信頼関係を設定して(他にもいろいろあるけど)アカウントの移行をしないと変換はできないはず。 ADMTはアカウント移行に関してオブジェクトの持つSIDの更新(追加、置換、削除)を補助してくれる。 移行後に移動プロファイルを格納するサーバの更新処理と、クライアント端末の更新処理を 行っておけば同じパスのプロファイルを異なったドメインで引き続き利用できるし、別の場所へ コピーして使っても問題ないだろう。細かい動きはMSの記事を参照。 http://www.microsoft.com/technet/prodtechnol/windows2000serv/deploy/cookbook/cookch10.mspx あと、移行元ドメイン側のアカウントがサーバ上の移動プロファイルの所有者になっている時は 2000 SP4、XP SP1以降ではADMTで更新をかけても所有者チェックに引っかかるから気を付けるべし。 >>101 >>102 ありがとうございました。 もう少し検証してみます。 チップからMPEG2デコーダ外されてるからソフトのより余計重いですけど おまいらAD使ってないんだね。orz ところでクライアントの設定で、IP的に別のサブネットのDNS(DC)を設定しても問題無いの? 鯖部屋を192.168.0.0/24にしといて、DCに192.168.0.200を割り当てて、 第一営業部を192.168.11.0/24、第一事業部を192.168.21.0/24にしても DCのIPアドレス(192.168.0.200)さえ、各部署のPCのDNSに設定さえ(DHCPで配ってもいい?)すれば問題無し? あと、第二営業部(192.168.12.0/24)や第二事業部(192.168.22.0/24)が、遠隔地の支店の場合でも支店にはDC用意し無くても平気? みなさんはActive Directoryどうやって勉強しましたか? 左手にティッシュを握りしめ深夜に自分のベッドの中でこそっと やっぱオナニーは想像の世界、実体験がものをいうのだ。 すんません、ユーザがドメインにログオンした履歴ってどこかのログで見れるのでしょうか? DCのイベントビュアのセキュリティとかのこと? グループポリシーの設定によってもログがみれる/みれないは 変わるかも。デフォルトでは、「Default Domain Controllers Policy」 の監査ポリシーは「成功」しかチェックがないようだ。 複数DCがあるとどうなんだろうね。 2003R2の新機能である DFS-Rの検証をしているんだが、 この時ドメインの名前空間を利用していますが、ADは普通の2003Serverでも 問題ないですか?もちろんADprepでスキーマ拡張済み。 問題なく動いているように見える。誰か知ってる? あと、フォルダターゲットを追加するとき、ブラウジングで追加しようとすると いつもtest.com(検証ドメイン名)が、コンピューターのように認識した以下の エラーがでて、ブラウジングできない。この対処方法も知ってる人教えて −エラー内容 「コンピュータ"test.com"がドメインに参加しているかどうかを判断できないため、必要なダイアロ グボックスを開くことができません。このメッセージを閉じてからやり直してください」 DNSにドメインとしてしか登録されていないので、当然だと思うのだが、このあとRPCのエラーがでる >>112 ログオンスクリプトだと分かりやすいです。 ttp://www.monyo.com/technical/windows/35.html ついでに質問です。(2000Server) 管理者のEFSファイル回復の証明書が期限切れになったらしく、 クライアント上で暗号化ができなくなってしまいました。 どうすれば証明書を有効にできるのでしょうか? 使い方が間違っているのかもしれませんが、 証明書サービスとかで適当に証明書を発行してもダメでした・・・。 >>116 Σ(゚Д゚;) あきらめるしかないですかorz 利用頻度は低いから影響は少ないけど、 ユーザーへの説明がマンドクセ ドメインにUSB記憶装置使用禁止のグループポリシーを設定したのですが、 ローカルでログインした場合でもこのポリシーが適用されている模様です。 これは通常通りなんでしょうか? HOMEエディッションでADのパス変更できませんか? そうですよねー>>122 しかし,ADに参加しないMacでは出来るんですよぉ 多重ログオンを禁止したい ログオンスクリプトを作り込んでやろうかと思ってるんだけど 現在ログイン中のユーザを表示できる方法ってない? ・ログイン中のユーザを表示できるコマンドとか ・VBScriptのこのオブジェクトを参照すればログイン中のユーザ一覧が得られるとか ・VBScriptのこのオブジェクトはそのユーザがログインしてれば1がセットされてるとか 自分で探しては見たけど見つからない・・・ Unix系OSで言うfingerコマンドみたいな ことができるとログオンスクリプトでそのユーザが ログイン中だったらログオフってのができると思うので。 あとは、ログオンスクリプトでファイル作って ログオフスクリプトでそのファイル消すってのも考えたんだけど、 それだと PC AにユーザXでログオン→ファイル作る PC BにユーザXでログオン→ファイルあるからログオフ、だけどログオフ時にファイル消しちゃう PC CにユーザXでログオン→ファイルないからログオンできる ってなって結局多重ログオンできそうなので・・・ 他によさげな方法ないかなあ? ログオン・ログオフスクリプトって動作に失敗するときないですか? ログ取りしてるんですが、ログオンとログオフが対になってない奴が結構あるんですけど。 >>127 それはありえるけど、何故かログオンが存在しない場合もあるんです。 ちなみにスクリプトではログファイルの排他制御&リトライもしています。(つもりかも・・・) >>128 ケーブル抜いてログイン後にケーブル繋げばスクリプトは走らない ログインスクリプト使わなくても多重ログインは防げるわけだが >>129 >>126 >>128 は俺じゃないです でも多重ログインを防ぐ方法があるなら教えてもらえない? 全然思いつかない・・・ 多重ログインを防ぐ方法を漏れも知りたい。 そんなポリシーも見つけられなかったので仕方なくGinaを作りますた・・・・ すいません。 質問です。 DCを二つ用意し、一方をプライマリ・もう一方をバックアップとして構築し、 承認・認証はバックアップサーバで行っている環境があるのですが、これは どこで設定しているのでしょうか? 数日、MSのサイトやグーグルとかに御世話になったのですが分かりません・・・ 利用するOSは両方ともWindows2003 Standardです。 >>133 ありがとうございます。 そこからきっかけとして以下の件が該当していました。 認証・パスワード変更・ユーザ名/コンピュータ検索はDNSのSRVレコードにより該当するサーバが行う 例) (FQDN)._tcp._kerberos (FQDN)._tcp._ldap (FQDN)._tcp._kpassword DNSレコードの全ての_kerberos(だったかな?)を修正することで認証サーバを変更することができました。 質問です AD移行中です。現在NTドメインで移動プロファイルを使用しています 移動プロファイルの変換はADMTで出来るのですが、移動プロファイルの格納サーバも変更となります 単純にコピーして、ADのユーザプロパティでパスだけ書き換えればよいですか? 移動プロファイルの質問です。 ドメイン内に所属する同一ユーザで複数台同時ログインを行ったとします。 (共有アカウントのようなイメージです) この場合に競合するレジストリの編集を行うとどうなるのでしょうか? 後書き優先? >>115 cipher コマンド 俺も最近これで解決したから あえて亀レス。 >>137 移動プロファイルはログオフした時に書き出す。 違うアプリがインスコされいるPCにログオンすると おもしろいことになるよ。 2003サーバーでActiveDirectory構築して、 移動プロファイルを生成して、 クライアントマシンでVisual Studio .net 2003を使いたいのですが、 Visual Studio .net 2003のデバッグを実行したら「ユーザーにマシンのDebugger User権限を与えてください」と出ます。 ドメインのグループにはDebugger Usersグループを追加していますが、 上記のメッセージが出てデバッグできません。 この設定をActiveDirectoryで一括設定するにはどこの設定をいじればよいのですか? メンバーサーバの移行ってみんなどうしてる?一発勝負? >>142 ドメインじゃなくて、個々のPCのローカル権限が無いのが原因じゃない? PCにローカルアドミンでログインして、街頭のドメインユーザに権限を割り当てる。 いちいち個々のPCで作業なので面倒だが。 >>144 レスサンクスです。 確かに各クライアントをいじればいいのでしょうが、 台数が増えることを考えると理想的な解決法ではないし、 なにか、ドメインコントローラー側で解決できないかなと探しています。 お世話になっております。 今Win2000ServerとWindowsServer2003R2を使用しています。 ActiveDirectoryで WindowsServer2003R2の方にユーザーを追加したのですが Win2000Serverの方に追加されません。 プライマリは多分Win2000Serverの方です。(確認方法不明) 強制同期の方法をご存知な方はお教えいただけないでしょうか? またプライマリじゃないADサーバでユーザー登録すること自体 好ましくない行為だったりしませんでしょうか? 以上 RESをいただけますとありがたいです。 ADの場合「プライマリ」でなく、「FSMO」などになるかと。 >またプライマリじゃないADサーバでユーザー登録する FSMOでないDCで登録しても問題ないかと。 >強制同期の方法をご存知な方はお教えいただけないでしょうか? こういうのですか? ttp://www.atmarkit.co.jp/fwin2k/win2ktips/285adrepl/adrepl.html ADの動作確認って、よくみえないというか、結構難しいようで、書籍では、 「Active Directory障害対策ガイド 」に いろいろな例が出ているようです。 たとえば、windowsfirewallの設定や、DNSの設定不良だけでも同期できなる ことがあるのでは?(まず、動作確認できないと、原因切り分けが難しい気が) win2000向けとして「動作保証スクリプト(要activeperl、regdmp)」 がMSから出てるので、これを実行できると、なにかわかるかも。「Microsoft Windows2000Serverリソースキット〈3〉分散システムガイド(上) 」 には、CDにregdmpも入ってるし、記述も役立つかも(インストールCDの Suport/Tool あたりを入れると、dcdiag、netdiag、などが使えるようになると思います)。 以上、初心者ながら予測でした。 >148さん RESありがとうございます。 微妙になんとかなりました。 お教えいただいたのを参考にまだまだ勉強します。 本当にありがとうございました。 ↑だけだと味気ないのでつけたしですが 「FSMOじゃない方」のActiveDirectoryのデータを消して FSMOに登録したら「FSMOじゃない方」にもデータがコピーされて うまく使えるようになりました。 という感じでですけど、、、 スレ汚し失礼しましたっ よかったですね。 ADのテストしてみてますが、サーバ起動後、〜30分〜 たたないと安定しないといった話も聞きますし(動作保証スクリプト にも、何か出てくる)、エラーの記録も再起動しないと消えなかったり、 問題なく使えていれば、動作OKと思うほかないところもあるの でしょうかね。 ActiveDirectoryのドメインポリシを使って、レジストリの特定の値をロックってできます? あるアプリの挙動の一部をユーザがコントロールできないようにするのが目的で、 レジストリの位置と値は見つけたんだけど。 http;//www.microsoft.com/japan/office/ork/two/admc02.mspx を読むと、アクセス制御リストでコントロールできそうにも読めるんだけど、 やりかたがさっぱりわからないでいます。 Windows Server 2003 R2だから、上記のドキュメントにあるようにWindows 2000で可能なら Windoes Server 2003 R2でもできると思うんだけどなあ。 ユーザー名称は英文字と2バイト文字 どちらがいいのでしょうか? 2バイト文字は問題が起こる場合があるので、 英文字を勧めているというのが一般的のようなのですが、 皆さんはどうしていますでしょうか? sharepoint で表示される「xxさんようこそ」 で漢字で表示されると うれしいものですが、英文字で表示されてもそっけない感じが・・・。 とはいえ、トラブルがないのを選びたいと思っています。 >>152 サーバの\windows\infにxxx.admを作成して、ADの管理テンプレートから追加 してポリシーを充ててる。 administrative template(拡張子がadm)か管理テンプレートで検索したら ヒントが出てきた。 IEのインターネットオプション->接続->LANの設定 「設定を自動的に検出する」のチェックを強制的に付けたいと思っています。 ActiveDIrecrtoryが動作しているサーバはWindows2003SV。 グループポリシーのユーザの構成->windows構成->InternetExplorerのメンテナンス-> ->接続->自動ブラウザ構成(優先モード)->構成ファイルを自動的に検出する にチェックを入れてもだめでした。 別なところで定義をするのでしょうか。 どうすればチェックを付けるように出来ますか。 >>153 好きな方を使え。Exchange + Outlook の組み合わせなんかだと、ユーザプロパティの「説明」に日本語で姓名を入れておけば sAMAccountName が英語でも Discription の方を表示してくれる。SharePoint がどうだかは知らん。 >>155 そもそもどこでポリシーを定義しているのか、対象のユーザオブジェクトがどこに格納されているのかによるので、答えようがないな。 DCに設定したWindows2003にローカルアカウントの作り方を教えてください。 ユーザが共有フォルダにディレクトリやファイルを作成した時、 その作成者であってもアクセス権の設定を変更できないように させることはできないでしょうか? やりたいことというのは、 ・アクセス権の変更をAdministrator以外はできないようにしたい ってことなんですが、さすがにユーザが作成したファイルやフォルダの 所有者を強制的に作成者以外にするのは難しいですかね? 対応できるのか?わかんないけど「共有アクセス権は「フルコントロール」ではなく 「変更」にする」とどう? ttp://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=14260&forum=6&6 デフォルトの所有者をadministratorにするしかないかも 「変更」にしても、所有者はどうにでもできちゃうし read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる