- PR -

Windows Server2003ドメインへのログオンについて

«前のページへ 1|2|3 次のページへ»
投稿者投稿内容
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-12-28 16:15
引用:

Mattunさんの書き込み (2005-12-28 15:25) より:

Windows2003だと、若干事情が変わってます。
ドメインコントローラから見たAuthenticated Usersには
特別な権利が割り当てられてます。
http://www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/ja-jp/526.asp

また余計なことを -> Micro$oft
とすると「ユーザー権利の割り当て」を global policy で抑制できそうな気が...
手元に環境無いので確認できません...
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-12-28 16:28
引用:

kazさんの書き込み (2005-12-28 16:15) より:
引用:

Windows2003だと、若干事情が変わってます。
ドメインコントローラから見たAuthenticated Usersには
特別な権利が割り当てられてます。
http://www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/ja-jp/526.asp

また余計なことを -> Micro$oft
とすると「ユーザー権利の割り当て」を global policy で抑制できそうな気が...

と思ったら読み違えていました.
これは「ドメインに〜追加できる」権限の話で,
それを剥奪する云々ではなく,
あくまでも「追加できる権限をもつ account を追加する」だけみたいですね.
これに negative な policy が無ければ
「拒絶できない」ということになる?
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2005-12-28 17:06
もう少し追記すると、
少なくとも僕は以下の点を知らないし検証もしてません。
1. 「10台追加できる」が、ドメインに対しての総数なのか、ユーザごとに、なのか
2. 該当するポリシーのデフォルトは未定義だけど、
  定義した上でユーザを追加しなかった場合の挙動
3. Windows2000Serverの頃はどうだったのか(NT4.0には無かったのは間違いない)

1.が前者であれば、すでに10台追加された後であれば気にする必要ないかと。
元々、このポリシーに関しては、
「適度な規模のADであれば、構築した後の初期の10台くらいは管理者が
 追加するんだから、その認証の手間を省いて欲しい」
「10台くらいの規模のADを、熟練してない管理者が構築する際の
 無知からくる無用なトラブルを少しでも防ぎたい」
なんていうユーザの要望から生まれたんじゃなかったかなぁと。
記憶があいまいすぎるけど、どこかでそんな話を聞いたことがあるような無いような。
少なくとも、ユーザのニーズが無ければ実装しなさそうな機能ではあるんで、
望んでたユーザ(管理者?)は助かりつつも、望んでなかった人から見たら
余計な機能ではあるんでしょう。
逆に、その「余計なことしやがって」というユーザの声が届かないと、
余計な機能だとMicrosoftは認識できないでしょうね。
この辺の企業とユーザの対話の苦労は、他の企業でも悩んでるところかと。

2.に関しては、ユーザを定義せずにポリシーを定義すれば、
誰もこの権限持つユーザがいない状態になったはずです。
そうなれば、これが答えでしょう。

3.に関してはどうだったですかね。
今回の問題に直接関係ないけど、ちょっと興味はあります。
_________________
Mattun
Microsoft MVP for Directory Services
(Oct 2006-Sep 2007)
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-12-28 18:45
引用:

Mattunさんの書き込み (2005-12-28 17:06) より:

2.に関しては、ユーザを定義せずにポリシーを定義すれば、
誰もこの権限持つユーザがいない状態になったはずです。
そうなれば、これが答えでしょう。

とすると「空のまま」だと「指定の user/group」で,
「指定が空だから権限持つ人も空と捉える」なんでしょうか?
※default 値は上書きされる?
いずれにせよ実験してほしい,というか,
Micro$oft も security 的な意味で情報 care して欲しい内容ですね.
Rydia
ベテラン
会議室デビュー日: 2003/09/26
投稿数: 60
投稿日時: 2006-01-06 18:16
kaz様、masa様、綾瀬様、Mattun様ご回答ありがとうございます。

引用:

kazさんの書き込み (2005-12-28 18:45) より:

それはつまり,管理者権限を持たない DomainUsers でも
Active Directory に computer account を追加できてしまう,
それを抑止したいという理解でよろしいですか?

はい。その通りです。
「Domain Users」権限でもADにコンピュータオブジェクトを追加できてしまいます。

引用:

masaさんの書き込み (2005-12-28 14:37) より:

逆に言うと、参加させる手順を行う際に入力したユーザ名、
パスワードが 一般ユーザ(Domainuserグループ)のものであれば
コンピュータアカウントを作成する権限を持たないので
当然ドメインに新規参加させることは出来ません。

なのでいらぬ心配だと思うのですが…

それとも一般ユーザがドメインのAccountOperatorsグループや
Administratorsグループに 所属しているとおっしゃってます?
もしくはそのユーザ名、パスワードを皆に知られてしまっているとか?

上記の通り、「AccountOperators」や「Administrators」グループ
に所属していないユーザアカウントでもADに追加していない
コンピュータオブジェクト名の端末から、[マイコンピュータ]右クリック
→[プロパティ]→「コンピュータ名」タブ→【変更】ボタンより
ワークグループからドメインへ変更処理を行いドメインに参加する
ユーザとパスワードを聞かれるポップアップで上記のグループに
属していないユーザ/パスワードを入力しても『xxxドメインへようこそ』
というような感じでドメインにログオンできてしまうのです。

皆様のご回答ではDomain Usersではこちらで起こっているようなことは
あり得ないというように見受けられるのですが、サーバの設定か何かがおかしいのでしょうか。
宜しくお願い致します。
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2006-01-06 18:26
引用:

皆様のご回答ではDomain Usersではこちらで起こっているようなことは
あり得ないというように見受けられるのですが、

僕は「あり得る」と突っ込んだ投稿をしてます。そちらを見てください。
_________________
Mattun
Microsoft MVP for Directory Services
(Oct 2006-Sep 2007)
minminnana
大ベテラン
会議室デビュー日: 2004/02/05
投稿数: 246
お住まい・勤務地: 盛岡
投稿日時: 2006-01-06 23:16
私も全く同じ問題で悩み、今は以下の様な設定にしています。

ユーザー権利の割当て「ドメインにワークステーションを追加」に対してDomainAdminsを指定。
コンピューターアカウントを作成。その際、「新しいオブジェクト-コンピュータ」の画面で、コンピューターをドメインに参加させることが出来るユーザーとして追加したコンピュータの持ち主であるユーザーを指定(規定がなぜかDomainAdmins)。
(バッチファイルで一括登録するときは面倒なので一律にDomainUsersを指定)

以上、ご参考まで。
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2006-01-07 11:51
引用:

私も全く同じ問題で悩み、今は以下の様な設定にしています。

それは、ドメインにワークステーションを追加する権限が無いユーザで
ワークステーションを追加させるやり方であって、

今回の質問者は、権限が無いはずのユーザで追加できてしまうのはなぜか?
って問題なわけです。

全然違う問題です。
_________________
Mattun
Microsoft MVP for Directory Services
(Oct 2006-Sep 2007)
«前のページへ 1|2|3 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)