- - PR -
W2K ActiveDirectory で初回ログイン時のパスワード変更ができない
| 投稿者 | 投稿内容 | ||||||||
|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2004-06-08 13:37
悪さしているポリシーがわかりました。 ドメインコントローラーの ローカルセキュリティーポリシー の ローカル ポリシー セキュリティーオプション 匿名接続の追加を制限する でした。 最初は、上位ポリシーを 適用無し にしてみたのですが、 なかなか解決せず、 最後はここくらいかな? と ドメインコントローラー自身のローカルポリシーに 当たってみました。 当初ここが、明示的な匿名アクセス権が無い場合アクセスを許可しない になって いたのですが、 これを、 なし(既定のアクセス権に依存) に変更したところ、 パスワード変更が可能になりました。 さて、 @ では、どうして、これが変更になったのでしょうか? A この変更をすることで、セキュリティー上他の問題が発生するでしょうか? このあたりが 新たな疑問でしょうか???? 追伸: 当方では、 ドメインコントローラーが 2台ありまして、 最初は、 1台だけ 上記変更をしたところ、 パスワード変更ができる場合と、 そうでない場合が、ありました。 クライアントはすべてXPだったのですが、 ローカルポリシーだったので、 もう一台のドメインコントローラーを見たところ、 明示的な匿名アクセス権が無い場合アクセスを許可しない のままだったので、 これも、 なし に変更しました。 [ メッセージ編集済み 編集者: かっぱ 編集日時 2004-06-08 13:49 ] | ||||||||
|
投稿日時: 2004-06-08 18:35
とりあえず、よかったですね。やはり侮れないですね。セキュリティポリシーの部分は…。 @に関しては、どうやらご自身で変更した記憶がないらしいですね。社内のActive Directoryを確認しましたが、ドメインコントローラー・ドメインセキュリティポリシーに関しては、特に設定はしていないので未定義のままでした。ローカルセキュリティポリシーは、ドメインの設定が引き継がれるので関係なしと思われます。 Aに関しては、私見ですが、大企業などで拠点が2箇所ある方の場合にパスワード変更が出来ないと困るのではと思われます。セキュリティ上問題があるかと言われれば、ちょっと考え込んでしまいますが、社内では『未定義』にしていて特に問題にはなっていません。 ただし、その会社によってセキュリティポリシーはかなり違いがあるので、一概に『未定義』にしておくことが良いとは限りません。この辺をわきまえて管理を煩雑にしないようにするしかないのかなと私は考えます。 | ||||||||
|
投稿日時: 2004-06-09 08:32
ちょっと時間がないので...URLのみで失礼します。
Windows 2000 でレジストリ値 RestrictAnonymous を使用する方法
| ||||||||
|
投稿日時: 2004-06-09 09:10
この場合の NT ユーザというのは、 2000 XP も含まれるのでしょうか??? というより、含まれるから、パスワード変更ができなかったのでしょうね。 | ||||||||
|
投稿日時: 2004-06-10 08:12
含まれると思いますが...こちらの技術文書ならびにUS技術文書からははっきりわかりません。
わたしもそう思います。 
| ||||||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。