- - PR -
2003ドメイン クライアントからパスワード変更できない
1
| 投稿者 | 投稿内容 | ||||
|---|---|---|---|---|---|
|
投稿日時: 2004-05-31 21:53
お世話になります。
以下の事象の解決方法がお分かりでしたらお教え願います。 クライアントからドメインユーザーのパスワードを変更したいのですが、 (Ctrl+Alt+Dltから行う「パスワードの変更」) 拒否されます。 【状況】 ◆出てくる警告メッセージ 「パスワードは少なくとも7文字必要です。新しいパスワードには3個前までのパスワード と同じものは使えません。違うパスワードを入力してください」 ※実際には7文字以上で、全く新規のパスワードを入れようとしています。 ◆設定しているグループポリシー ・パスワードの長さ:7文字以上 ・複雑なパスワード:未定義 別の特権が必要なのでしょうか? | ||||
|
投稿日時: 2004-05-31 22:52
こんばんわ.
group policy は正常に適用されています? ちなみに,複雑な password という条件に合致する簡単な password である Windows2003 とかだと変更できたりしますかね? | ||||
|
投稿日時: 2004-05-31 23:48
パスワードの設定に関しては、ドメインレベルの設定だけが有効ですが、指摘されたGPOは
ドメインに適用されているものでしょうか。 | ||||
|
投稿日時: 2004-06-01 12:26
ご指摘ありがとうございます。確認してみました。
-------------------------------------------------------------------------------- ちなみに,複雑な password という条件に合致する簡単な password である Windows2003 とかだと変更できたりしますかね? -------------------------------------------------------------------------------- ⇒できません。 -------------------------------------------------------------------------------- パスワードの設定に関しては、ドメインレベルの設定だけが有効ですが、指摘されたGPO はドメインに適用されているものでしょうか。 -------------------------------------------------------------------------------- ⇒「Default Domain Policy」を編集したGPOがドメイン全体にリンクされています。 グループポリシー管理ツールのセキュリティフィルタ処理には「Authenticated Users」 がセットされています。 以下、調査して新たに分かったことです。 ●DC上で該当ユーザーのパスワード変更(リセット)を行うと、正常に出来る。 ●DCのイベントログに、グループポリシーが正常に適用されない旨のログが出ている (イベントID:1058,1030) http://support.microsoft.com/default.aspx?scid=kb;JA;314494 よって、操作するクライアントで正常にGPが読めていないものと推測します。 が、今回のクライアントはwin2000です。 (上記サポート情報では、WinXPで発生となっている) 他に調べること等、少しでもアドバイス頂けると助かります。 | ||||
|
投稿日時: 2004-06-01 13:12
こんにちわ.
とすると,client 起動時に domian controller と通信できていないのでは? ActiveDirectory で新しい user をつくり,その user で client から logon できますでしょうか? client の eventlog にはなにか情報は無いのでしょうか? | ||||
|
投稿日時: 2004-06-01 14:18
当該KBですが、これはクライアントのイベントログに記録される場合の話と考えられます。
DCでイベントログが記録されているのであれば、このKBとは関係ないと考えたほうが良い ように思います。 で、1058/1030 on DCには別のKBがいくつか見つかりました。こちらもチェックしてみて ください。 あとまあ、gpresultで、クライアントマシンのGPO設定がどうなっているかを見るとか。 | ||||
|
投稿日時: 2004-06-01 19:09
再びご指摘ありがとうございます。
------------------------------------------------------------------------------- とすると,client 起動時に domian controller と通信できていないのでは? ActiveDirectory で新しい user をつくり,その user で client から logon できます でしょうか? client の eventlog にはなにか情報は無いのでしょうか? ------------------------------------------------------------------------------- ⇒新しいユーザーでログオンできましたので、DCとの基本的な通信はできているようです。 また、クライアント側のイベントログには不審なイベントはありませんでした。 (セキュリティログも、全て成功の監査) ------------------------------------------------------------------------------- で、1058/1030 on DCには別のKBがいくつか見つかりました。こちらもチェックしてみて ください。 ------------------------------------------------------------------------------- ⇒別のKBをお教え願えますでしょうか? ------------------------------------------------------------------------------- あとまあ、gpresultで、クライアントマシンのGPO設定がどうなっているかを見るとか。 ------------------------------------------------------------------------------- ⇒代りにDC側で、ポリシーの結果セットを使用してみました。 結果を確認すると、不審(?)な箇所がありました。 ●パスワードポリシーの「パスワードの長さ」の部分に×印(赤丸の中に白×)がある。 ●その部分のプロパティを表示し、「優先順位」タグを見ると、Default Domain Policy が優先リストに挙がっているが、ウィンドウの下側に、 「ポリシーエンジンは設定の構成を試みませんでした・・・」のメッセージが出ている。 (単純に、結果セットを使ったので設定はされていないということを言っているのでしょう か?) 問題が細かくなり申し訳ありませんが、また確認事項等ございましたら何卒お教えください。 | ||||
|
投稿日時: 2004-06-01 20:45
KBですが、すみません。どれが、というと判りません。
1030のイベントログからMSにメッセージ送るリンクで、KBを開くと、5つか6つ表示されたと 思います。うちは、1058/1030ではなく、1097/1030? が出ますので。 | ||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。