Windows★Active Directoryスレ
v6プラスにしたら
pcがDC見つけられなくてドメインに追加できなくなった。
pcのipv6を無効にしたら
ドメインに参加できたけどなんだこれ。 ADとは、直接関係無いのだが
悪意のあるソフト削除ツール は、更新で当月分以外は不要でO.K?
WSUSの容量減らしたくて >>772
ぶら下がっている奴はADサーバも兼ねているだろ
GPOでDNSをまとめて設定すりゃいい >>782
使いもしないパッチを減らせば
OSも種類もあるけどMSのソフトなんていらないだろに
少なくともオフィスの特定のバージョンだけとか
少なくとも何を使ってるかは把握してるんだろうし。 >>772
無知で日本語のパッチレベルで適応させると400GB以上になるよw
大半が無駄パッチ
下手なADサーバーだとそれで死ぬ。
WSUSなっていい加減に設定するとハマるんだよ。
余裕がないのなら限定して組まないと共倒れになるぞw >>782
というか、パッチの置き換えがあったかをトーナメント表みたいな
アイコンで表示できるでしょ。
優勝アイコンもしくはアイコンが表示されないパッチ以外は
全部削除してクリーンアップで容量は激減するよ。 >>785
>>787
レス有難うございます。
やってはいるんですけど、糞鯖な物で
たぶんテレメ入り(蚤じゃない方)のマンスリーと同じだと思うんだけど 容量が多いのは、高速パッチが原因なのは判るけども
前任者が調達含め、いい加減な対応しかしてないので
ほとんど、おまかん状態
導入済みソフトの調査だけで、大変だった
で、結局悪意の古いのは要るの?要らないの? >>789
>>787をやってるんだな?
じゃあ答えは出てるだろ。
糞鯖とか前任者とか全く関係なく、お前の理解不足。 Windows10からデフォルトログオンドメインの挙動変わった?
w8.1まではポリシー設定効いてたのに効かない
ワークグループ環境での挙動が違うだけなのかもしれんが お家のネットワークに、最新のSamba 4.8.0でAD DCを構築。
Windowsは値段が高いし、これで十分だね。 基本的なグループポリシーは問題ないみたい。
(PC管理がずいぶん楽になった。)
今はお試し版のWindowsServerを同時に動かして、いろいろ弄っているところ。 友達から教えてもらった簡単確実稼げる秘密の方法
関心がある人だけ見てください。
グーグルで検索するといいかも『金持ちになりたい 鎌野介メソッド』
8CBPS 友達から教えてもらったネットで稼げる情報とか
興味がある人はどうぞ
グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』
H3273 ドメイン取ってないようなとこで.localの代わりに何使ってるのか気になって覗いたけど
過疎スレだね★
客先で.testもあれだしなぁ さんきゅ
とりあえず、DNSが解決しないドメイン名にした。
つかなんで手のひら返したように.localは使うなとか言いだすんだよ。中途半端な知識の情シスがうるせえうるせえ。 導入数年のAD管理任されました
今までユーザーのパスワード無期限を、約半年単位で変更と言うことに落ち着きました、
正月休み明けから、実行を考えていますが
12/1に有効期間30日でGP設定 1/10に183日に変更で思ったような運用可能でしょうか?
最初の30日設定のカウント開始が判らず、当日にパスワード変更要求がかかるなら1月に設定変更しますので と言われましても、社内統一パスワードの設定なので
アホとしか思えん >>801
これから運用するものにlocalなんて使っちゃだめですよ。
新しくドメイン作って末尾を.jpにしてますよ。
フォレスト同士を信頼関係で結んで接続すれば
双方のドメインでユーザーはログイン可能。
ただドメインが違うのでログイン時に、ドメイン名+アカウント名を入れないとダメだけど メアド用にお名前.comなんかで取ったドメイン名にサブドメイン勝手に作ってもいいのかな?
ad.onamae.com みたいなドメイン名で、ログオン時に user@ad.onamae.com って作っちゃうとなんかメアドと間違えられそうだし・・・
.localなんて十数年実績あるんだからなんで勝手に予約語にしたんだか グループポリシーについて教えて下さい。
本部OUと支社OUにそれぞれGPOを作成しました。
本部OUのユーザーが支社OUのコンピューターにログインした時は、本部OUのユーザーの構成が適用されるで合っていますでしょうか?
支社OUのコンピューターの構成でループバックの置換を設定すると支社OUのユーザーの構成が適用されますでしょうか?
何故かループバックの設定をしてないのに、本部OUのユーザーが支社OUのコンピューターにログインしたら支社のユーザーの構成が適用されました。何故でしょうか。
また、コンピューターの構成を適用したい場合はユーザーの構成を無効にする以外は方法無いでしょうか?? >>809
ユーザーの構成はユーザーアカウントに適用
コンピュータの構成はコンピュータアカウントに適用
gpupdate /force & gpresult /R で端末確認しながら勉強しろ
諸悪の根源はこいつか、、、
ttps://support.apple.com/ja-jp/HT204684
.private
.intranet
.internal
.lan
上記4つもいずれは、、、と考えるとサブドメインかね 最近だとOffice365がらみもあるな。大企業ほど大変 ワークグループに落として再参加とか気軽にいうなよなぁ >>809
わかりません
フォレストの信頼関係で繋がっている前提で
なっているなら本社のユーザーは本社のグループポリシーが適用される。 Windowsは作りが雑なので消えてなくなれと言いたい。
グループポリシーはユーザーとコンピュータに別れ
各々しか適用さない。
設定したつもりになっていて、設定しても無効になるのがある。
管理に限界があるときはバッチでも使って管理しましょう
Windows互換性はないからな。廃止されたものもあるし
謎の不具合もある。
奥は深いよ ポリシ当たらないときは何やっても当たらないからな
ログオンスクリプトに書いてる客も多い ドメコン動かしてるサーバにやらせてもよい事orやらせるべきではないことってどうなんでしょう?
例えば
IIS(イントラ用で)
ファイルサーバ
Hyper-V ホスト
プロキシサーバ
とかやらせて良い? >>817
ローカルユーザアクセス権の関係でSQL Serverも非推奨だったはず。
あとは頻繁に再起動が必要な環境も避けた方がいいとは言われた。 >>817
Hyper-V ホスト
は、状況しだいだがライセンス問題が
ドメコンは朝とかの初期アクセス以外は暇なんだけどね
仮想できない昔はファイル、ウイルス対策、WSUSなんかも兼用で動かしてた active directoryを管理するGUIツールを探しているのですが
WEBブラウザ型の管理ツールはありますか?
DBで言うところのadminerのようなツールのAD版を探しています 今年後半のldaps強制は回避できないんだろうか?
知ってる方いらっしゃれば 3月が延期になってなかったら、非Windows連携で入退出管理システムとか組んでるベンダが死んでたと思う 教えてください。
ADユーザー情報3000件を一括で変更しようと思ったら、
PowerShellが良いですか?コマンドプロンプトが良いですか? >>829
OS:WindowsServer2012
やりたいこと:各ユーザーの所属するグループを更新したい。
更新するためのユーザー抽出方法は既にできてる。
出力データを編集するのは人間。
編集したデータをうまいことADに取り込みたい。
(グループの追加、ではなく、上書きのイメージ)
です。 >>830
わからない。
グループ作ってユーザー突っ込めばいい話かと
Windowsはクソなので勝手にユーザー作って
権限入れた後にユーザ消すと、幽霊会員の残骸ができるからね。
共有フォルダーの権限の大元をグループで変えるのか
実際作ったフォルダーをいじるかでも違ってくる .batでできるが
そのバッチを効率的に作るために
excelとかでベースを作って
テキストに書き出し後に
TABとかを置換で消して作ればいい。 >>831
今回はグループが主ではなく、ユーザーが主
(AAAというユーザーが所属しているグループの更新作業)
として考えたいです。
なので、グループ自体をどうこうする、というのは考えていません。
あとWindowsはクソなのですね。
覚えておきます。(大切なことなので。)
残骸ができるのは困るので、丁寧に作業します。 >>832
.batですか。
例えば、、、それはどのような記載になるでしょうか?
ヒントだけでもいただけると助かります。 名前で人は登録するな
名前は同性同名で重複するの途中失敗する恐れあり >>835
ありがとうございます。
確認しました。。。が、既存のユーザー情報変を変更したい場合は、
【ActiveDirectoryユーザーを一括操作する】の項目のところを
工夫すれば良いのでしょうか?
キーとなるログオン名の重複はない(はず)なので、
重複によるエラーは発生しない予定です。 PowerShellなら効率的な使い方あるんだろうなーって思いながらExcelでバッチ作っちゃうねえ・・・ すんごい基本的なことですが、わからんす。
2016ad環境でグループポリシーつかってwin10proの大型アップデート制御する方法を教えて下さい。 スタンドアロンで使ってたクライアントをドメインに参加させる予定なんだけど、そのユーザが使ってたデスクトップは変えたくないんだが、何か方法あるかな? ドメイコンのレプリケート範囲ってデフォルトでは同じドメイン内って認識であってますか? >>840
つ 何もできない。
が回答。
ドメインに参加させる際に全ての権限があるのなら
実際に使うユーザー側でローカルのユーザー名の場所にアクセス権を追加してやれば
ドメイン参加後にクライアントのデスクトップにやファイルすべにアクセス可能なので
フォルダー追加程度で同じことが可能だが
権限がないなら
ローカルのユーザーのフォルダをC直下にコピーしたのちに
ドメインの実際に使うユーザー側にコピーするとかするしかないのでは? しかしMSはなぜ「ドメイン」という言葉を使い始めたのだろう?
インターネットのコミュニティをとことん馬鹿にしてたとしか思えない AD環境のグループポリシーについて
ユーザ構成の項目がOUに適用されているGPOで全て未構成だった場合、LGPOで有効、無効ならLGPOの設定が適用されますか? わからない。
もっと勉強しろ。
質問の意図がかわからないし
そもそもユーザーと端末の各々独立している 設定後に検証も自分で出来ないようならば利用するなとしか言いようがない
AD環境なんてのは企業でしか利用しないたろうよ
管理者ならばしっかりとせいよ >>845
概念だけ説明すると
AD概念を説明すると、
フォルダがグループ
ファイルの相当するのが ユーザー または 端末。
ポリシーのルールがあり作ったルールをフォルダー紐づける。
ただマイクロソフトが作っているのでいい加減だしポンコツで適用がアバウト。
ルールはユーザ側と端末側と重複する項目があるが
実際は片方か動かないとかある。または全く記載がない。
こういう仕組みでザル構造になっているがザルだけあって対策はある。
ユーザがログインした際に強制的にバッチを読ませるログオンスクリプトを作って
実行させる手がある。
Windowsが作りがいい加減なので、
管理側どこに記載するべきポリシーなのかがわかってないと運用できないのですよ。
ポリシーも有効にならないものはグレーアウトとかもしくは表示しないとかあれば
混乱はないでしょうけど、設定しもて動かないものが混ざっているので
経験則を必要とするものになってます。
話は戻ると質問が間違っていて
そもそも今回のは
〇〇をしたいのですがどういう方法がありますか?
と書くべきかと思うな 会社のPCでワークグループ状態のときローカルアカウントを作成して超短いパスワードつけられたけど
その後ドメイン参加したらローカルアカウントのパスワード変更はドメインのポリシーに縛られちゃうのな
超短いパスワードのローカルアカウントが必要ならドメイン参加前に作っとかなきゃ駄目ってことか Windows Server 2016で、.localのドメインから〇〇.実在のドメインにドメイン名変更をしましたが、
ドメイン参加に失敗するようになりました。
助けてください。
netlogonのエラーで下記のように出ています。
次のDNSサーバーでDNSレコード'_ldap._tcp.Default-First-Site-Name._sites.ForestDnsZones.〇〇.実在のドメイン. 600 IN SRV 0 100 389 pc名.〇〇.実在のドメイン'の動的登録に失敗しました。
DNSサーバーのアドレス:実在ドメインのレジストラのipアドレス
返された応答コード(RCODE):5
返された状態コード:9017
あと何か必要な情報があれば指摘いただければ追記します。
よろしくお願いします。 Active Directoryに参加しているPCって
サーバー側からusersフォルダが丸見えになるのがデフォですか?
今日初めて気づいたんですが、これで良いのか?とちょっとビビってます。 >>851
管理者権限あればなんとでもなるでしょ。気にしたって仕方ない。 個人のマイクロソフトアカウントでデバイスが見えるのと同じ理屈です
ライセンス管理もしている企業用アカウントなので見えて当然でしょう >>851
言葉がわからない。
サーバー側というなら見えない。
管理者のアカウントでドメインの参加してる端末であれば見れるかも
Administrator、Administratorだから権限があるわけではない。
一般ユーザーとAdministratorは同列。Administratorが管理権限があるかは
Administratorsやなど他のグループにAdministratorがユーザーとして入ってるため。
ファイルの所有者がその人だけで
アクセス権にAdministratorがユーザーとして含まれてなければ覗くことがはできない。 >>854
個々のPCのAdministratorの権限は会社で管理してるって意味では? >>851
だからEnterprise AdminsグループやDomain Adminsグループはガチガチに保護する必要がある 全員死んじまえよ構わないというだけではないやろ…
フルポジだから気にならんのか
どう考えてから再度お試しください。
https://i.imgur.com/vOQlj0h.jpg デイは滅多にやらないけど短期繰り返してる、じゃない人は作品の質が低いんだろうな
何が面白かった
ただでさえ少ない本国ペンに絞められでもしないと
> 散弾銃ではない