- PR -

W2K ActiveDirectory で初回ログイン時のパスワード変更ができない

1|2|3 次のページへ»
投稿者投稿内容
かっぱ
常連さん
会議室デビュー日: 2004/06/01
投稿数: 29
投稿日時: 2004-06-01 13:05
はじめまして、 現在、 W2K ActiveDirectory を XP クライアントで利用中です。
パスワードのポリシーとして、
 7文字以上,複雑さ有効,有効期間90日,変更禁止1日,履歴記録1パスワード
で運用しているのですが、 最近、パスワード有効期限が近づいたため、
ユーザがクライアントでパスワード変更をしようとすると、
 『パスワードを変更するアクセス許可がありません』と表示されるようになりました。
これについては、MicroSoft サポート技術情報を参考に解決できたのですが、 今度は、 新規ユーザを設定した際、次回ログイン時にパスワード変更を義務付けると、 ログイン時のパスワード変更ができなくなりました。 パスワード変更を義務にせず、いったんログインした後、Ctrl+Alt+Delでパスワード変更するようにすれば、パスワード変更が可能です。
 ログイン時にパスワード変更を義務づける方法で、パスワード変更時に『パスワードを変更するアクセス許可がありません』を表示させずに、パスワード変更することはできないでしょうか。
ヨッシー
ベテラン
会議室デビュー日: 2004/04/27
投稿数: 79
お住まい・勤務地: 朝霞市から豊洲へ
投稿日時: 2004-06-01 14:36
こんにちは。
引用:

かっぱさんの書き込み (2004-06-01 13:05) より:
はじめまして、 現在、 W2K ActiveDirectory を XP クライアントで利用中です。
パスワードのポリシーとして、
 7文字以上,複雑さ有効,有効期間90日,変更禁止1日,履歴記録1パスワード
で運用しているのですが、 最近、パスワード有効期限が近づいたため、
ユーザがクライアントでパスワード変更をしようとすると、
 『パスワードを変更するアクセス許可がありません』と表示されるようになりました。
これについては、MicroSoft サポート技術情報を参考に解決できたのですが、 今度は、 新規ユーザを設定した際、次回ログイン時にパスワード変更を義務付けると、 ログイン時のパスワード変更ができなくなりました。 パスワード変更を義務にせず、いったんログインした後、Ctrl+Alt+Delでパスワード変更するようにすれば、パスワード変更が可能です。
 ログイン時にパスワード変更を義務づける方法で、パスワード変更時に『パスワードを変更するアクセス許可がありません』を表示させずに、パスワード変更することはできないでしょうか。

上記のようなエラーメッセージが出ているということは、考えられるのはセキュリティではないかと思います。ちなみにActive Directoryにて作成したユーザーのプロパティの中で、セキュリティタブの部分ってどうなっていますか?その部分に解決の糸口があるように感じます。
かっぱ
常連さん
会議室デビュー日: 2004/06/01
投稿数: 29
投稿日時: 2004-06-01 15:33
関係ありそうなところで、 Everyone と SELF の ユーザオブジェクトについて、
読みとり権限と、パスワード変更権限を付けてあります。
ログイン後のパスワード変更はできるのですが、 ログイン途中????のパスワード変更ができない事で困っています。
ヨッシー
ベテラン
会議室デビュー日: 2004/04/27
投稿数: 79
お住まい・勤務地: 朝霞市から豊洲へ
投稿日時: 2004-06-01 15:43
こんにちは。
引用:

かっぱさんの書き込み (2004-06-01 15:33) より:
関係ありそうなところで、 Everyone と SELF の ユーザオブジェクトについて、
読みとり権限と、パスワード変更権限を付けてあります。
ログイン後のパスワード変更はできるのですが、 ログイン途中????のパスワード変更ができない事で困っています。

『SYSTEM』は、フルコントロールになっていますか?結構ここが大事だったりします。
その後、気になって社内の環境で試したところ、『SYSTEM』の部分がフルコントロールでないと、「アクセスする権限がありません」と表示されていました。試してみてはいかがですか?
かっぱ
常連さん
会議室デビュー日: 2004/06/01
投稿数: 29
投稿日時: 2004-06-01 15:52
SYSTEM については、フルコントロールになってます。・・・・・
ログイン後なら、変更可で、 ログイン途中で変更できない ということは、
どのように考えたらいいのでしょうか? ログイン途中で パスワードの変更を
問い合わせてくる時の IDは、 なんなんでしょうか?? SYSTEM ってことなん
でしょうか????
ヨッシー
ベテラン
会議室デビュー日: 2004/04/27
投稿数: 79
お住まい・勤務地: 朝霞市から豊洲へ
投稿日時: 2004-06-01 16:11
引用:

かっぱさんの書き込み (2004-06-01 15:52) より:
SYSTEM については、フルコントロールになってます。・・・・・
ログイン後なら、変更可で、 ログイン途中で変更できない ということは、
どのように考えたらいいのでしょうか? 

新規でユーザーを作った場合は、どうですか?
今現状で出来ないユーザーアカウントと新規作成のユーザーアカウントをセキュリティの部分で比較してみるのも一つの手ではないかと思いますが…
引用:

ログイン途中で パスワードの変更を
問い合わせてくる時の IDは、 なんなんでしょうか?? SYSTEM ってことなん
でしょうか????

ちなみにどのIDのことを言ってます?Active Directoryのユーザーとコンピュータで作成したユーザーでないとログオンは出来ません。SYSTEMは、Active Directoryのユーザーとコンピュータにて選択することができないアカウントです。コンピュータの内部処理用に動くアカウントです。
かっぱ
常連さん
会議室デビュー日: 2004/06/01
投稿数: 29
投稿日時: 2004-06-01 16:23
引用:

ヨッシーさんの書き込み (2004-06-01 16:11) より:
新規でユーザーを作った場合は、どうですか?
今現状で出来ないユーザーアカウントと新規作成のユーザーアカウントをセキュリティの部分で比較してみるのも一つの手ではないかと思いますが…

 セキュリティーの差はないのです・・・
 新規ユーザは、ログオン前にパスワードを変更するように設定する訳で、
既存ユーザは、期限の数日前から変更を促すプロンプトがでますので、
ログイン後 Ctrl+Alt+Delete から パスワード変更すれば、パスワードの変更が
できる という違いだけです。
 だから、運用上は、 新規ユーザについても、 次回ログオン時のパスワード変更を要する とはしないで、 ログオン後 初期パスワードを変更してもらうことにするしかないかな・・・ と考えている次第です。
引用:

ヨッシーさんの書き込み (2004-06-01 16:11) より:
ちなみにどのIDのことを言ってます?Active Directoryのユーザーとコンピュータで作成したユーザーでないとログオンは出来ません。SYSTEMは、Active Directoryのユーザーとコンピュータにて選択することができないアカウントです。コンピュータの内部処理用に動くアカウントです。

 ええ、ですから、ログオン時のタイミングでパスワード変更の処理を Acrive Directory Server に向けて発信する ID がわかれば、そいつに必要な権限を与えれば
いいのかな? と考えたのですが・・・
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2004-06-01 17:55
こんにちわ.
引用:

かっぱさんの書き込み (2004-06-01 16:23) より:

 セキュリティーの差はないのです・・・
 新規ユーザは、ログオン前にパスワードを変更するように設定する訳で、
既存ユーザは、期限の数日前から変更を促すプロンプトがでますので、
ログイン後 Ctrl+Alt+Delete から パスワード変更すれば、パスワードの変更が
できる という違いだけです。
 だから、運用上は、 新規ユーザについても、 次回ログオン時のパスワード変更を要する とはしないで、 ログオン後 初期パスワードを変更してもらうことにするしかないかな・・・ と考えている次第です。

どこぞの policy に「user が password を変更するには logon が必要」という内容の設定があって,有効になっていると記憶しています.
1|2|3 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)