- - PR -
Windows アクティブディレクトリからワークグループに戻すには
| 投稿者 | 投稿内容 | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2004-08-19 23:41
テストのために、Windows2000serverでアクティブディレクトリ環境を構成し、
Windows2000proをクライアントとしてドメインログオンできることを確認しました。 その後、アクティブディレクトリからワークグループに戻そうとしたのですが、 ドメインログオンしているアカウントが管理者権限でなかったためローカルPCの 設定すら変更できない状態でした。 この状態で、アクティブディレクトリ側でユーザアカウント、コンピュータアカウントを作り直したところ(一旦削除して同じものを再度作りました)、今後はドメインログオンすらできなくなってしまいました。 ドメインログオンではなくローカルPCにログオンしようとしたところ今度は 「このシステムのローカルポリシーは、このユーザが対話的にログオンすることを許可しておりません」と表示され、全くログオンできない状況になってしまいました。 このような状況になって元に戻す(ローカルPCにログオンできるようにする)には どのようにしたら良いのでしょうか? ご存知の方おりましたらぜひ教えてください。よろしくお願いいたします。 | ||||||||||||
|
投稿日時: 2004-08-20 00:04
ローカルの管理者ユーザでログオンすれば良かっただけだと思うんだけど、 ログオン画面でログオン先としてドメインとローカルマシンを選択できることを 知らなかった、とかいうオチなんでしょうか? ログオン画面でオプションボタンを押せば、ログオン先を変更できます。 とりあえず、今の状態でも、ローカルのユーザでログオンできるでしょうから、 ローカルユーザでのログオンを試してみてください。
自分でやってる操作の意味を理解してるんでしょうか? 理解してない人が理解しようともせずに行き当たりばったりの操作したところで、 そんな管理者がいくらActiveDirectoryの検証/テストを行っても、 行き着くところはドメイン崩壊な結末じゃないかと心配になります。 | ||||||||||||
|
投稿日時: 2004-08-20 00:48
こんばんわ.
-> kkenji様 ActiveDirectory では,「深く考えずにとりあえず user account を作成」すると, DomainUsers な user group で作成されます. ※NT Domain でも同様です. で,Domain に参加したらそれらで logon できるわけですが, Local の user account はそれらと無関係に残っています. なので,Mattun様ご指摘のように, Local で Admin な account で logon すれば設定変更が可能です. つまり,Domain に参加した Windows は 「Domain にも Local にも logon できる」状態なわけです. ちなみに,Domain Controller になってしまうと, 通常は Local な user では logon 出来ません. ※NT Domain でも同様です. Professional は Domain Controller にはなれないのであまり関係ありませんが...
「同じ名前」でも,実は System 的には区別されてしまっています. Windows では Security ID なるものを System 内部で生成して, user account や computer account を unique に識別しています. なので,同じ user account や computer account を「作り直し」ても, System 的には「違うじゃん」と認識されてしまうのです. つまり,「同姓同名でも遺伝子は違うでしょ」というような話です. なので,作り直した前後の computer account は「別物」なので, Domain のほうでは「こいつは違う」と識別してしまいますし, user account は別の profile を生成してしまいます. で,前述にある Mattun様のご指摘にもありますが, Local な user account は ActiveDirectory とは無関係に存在し続けているので, Local で Admin な account で logon して, Domain から離脱する処理をすれば,なんとかなるのでは?というお話です. 便乗してしまいますが, この Local な account で logon させないようにすることって出来るのでしょうか? Mattun様に限らず,有識者の方のご意見を賜りたく. | ||||||||||||
|
投稿日時: 2004-08-20 01:37
いろいろ厳しい意見をいただいているようなので補足させていただきます。
実際私はActiveDirectoryを触り始めたのはつい2日ほど前からです。 ほとんど初心者です。ActiveDirectory自体のテストというわけではなく他のテストを 行うためにActiveDirectoryが必要だったので組み込んでみたというのが実際のところです。詳しくはここでは書きませんが...。 さて本題ですが、ログオンするときにドメインではなくローカルマシンを選択してユーザ名、パスワードを入力しているにもかかわらず以下のメッセージが表示されてログインできないわけです。 「このシステムのローカルポリシーは、このユーザが対話的にログオンすることを許可しておりません」 想像するに以下のURLの状態に陥っているのかと思われます...。 http://support.microsoft.com/default.aspx?scid=kb;ja;276590 なにやらリソースキットなるものがあるようですが私は使用したことがないもので...。 復旧方法をご存知の方いましたらお教え願えないでしょうか? | ||||||||||||
|
投稿日時: 2004-08-20 02:03
Administrator でも logon できないのでしょうか? Local policy で何らかの設定変更を行ったか, ActiveDirectory で policy を定義して反映されてしまった後に ActiveDirectory の account を削除してしまったのでしょうか? 「原因が分からない」というより, 「原因となることを実施しても覚えていない」というお話でしょうか? 少なくとも「何も設定変更しない」でそのようになったりはしないと思うので, 心当たりがあればそれを書き込まれることをお奨めします. Administrator で logon して Domain から離脱すれば, Domain の policy は無効になるのではないかと. ※たしか registory を変更するものではなくなったと記憶しています. ※違っていたらゴメンナサイ. 厳しい意見かもしれませんが,「ActiveDirectory 上の account を再作成」のくだりはやはり「基本的な事項がお分かりになってない」のかなと...となると,まず基本を学ばれるのが必要ではないかという意見ではないかと思うです... ちなみに自分は Windows 環境をほとんど触りませんし,Active Directory も詳しくありませんが,そのくらいは普通に存じています. 余計なことでゴメンナサイ. | ||||||||||||
|
投稿日時: 2004-08-20 02:21
administratorでもローカルマシンにログインできません。
その際、「このシステムのローカルポリシーは、このユーザが対話的にログオンすることを許可しておりません」と表示されます。 おそらく(自分でやったのにおそらくというのもなんですが...)、アクティブディレクトリでローカルポリシーを変更したあとでActiveDirectoryのアカウントを消したため だと思います。kazさんの書かれている通りです。 はずかしながらはっきり覚えておりません。まさかこのような事態になるとは思ってもいなかったので軽率でした。 リソースキットのntrightsという機能でなんとかなりそうな気はしているのですが どのようにしたら入手可能でしょうか? | ||||||||||||
|
投稿日時: 2004-08-20 07:29
現在そのマシンにログオンできるユーザは存在するんですか?
ローカルユーザはどれでもログオンできないのは分かりましたが、 ドメインの管理者ユーザでもログオンできないんでしょうか? DomainAdminsユーザは全ドメインメンバマシンに対する管理者権限を持ってます。 また、ドメインコントローラへはドメイン管理者ユーザでログオン可能ですか?
エラーメッセージ的には、ドメイングループポリシーでローカルログオン許可設定を 削除したか、ローカルログオン拒否設定を追加してしまったんでしょう。 # そういうポリシー項目はたしかにあったと思います。 実際にどのポリシーをいじったのか理解してないしメモすら取ってないなんてのは それこそ自殺行為なんですが、復旧作業を続けていく上では、 どのポリシーが変更されているのかを確実に把握しないと、 どこまで何を考慮すべきなのかさすがに分かりません。 GPMCを使えば、現在適用されているポリシーのレポート化が可能ですから、 それを元に、変更されているポリシーの内容を教えてください。 なお、GPMC実行には、ドメインに参加しているWindowsXPかWindows2003マシンが必要で、 かつそのマシンにドメイン管理者ユーザでログオンできる必要があるんですが、 そういうマシンは存在してますか? http://www.microsoft.com/downloads/details.aspx?FamilyID=f39e9d60-7e41-4947-82f5-3330f37adfeb&displaylang=ja GPMCを使えない場合、ドメインのポリシー変更箇所を調べるのは結構しんどいです。 場合によっては、ドメインのグループポリシーの設定修正だけで直り、 ntrightsでの作業は不要かもしれません。 # それこそドメインコントローラへのログオンすら制限、なんて事態じゃない限り。 # それでもどうにかする手順はあったとは思いますけど。 どれだけ手数がかかるかは別とすれば、情報さえしっかりすれば復旧は可能ですから、 グループポリシーの状態に関する情報をしっかり把握して書いてください。 それが面倒な場合、全ドメインメンバおよび全ドメインコントローラを 再インストールして、ドメインの存在自体を消してください。 # 業務に影響が出てて早急な復旧が必要、とかの場合、それも選択肢になりえます。 ntrights自体は、Windows2000ServerおよびWindowsServer2003のリソースキットに 付属しており、それ以外の入手方法は無かったはずです。 リソースキットは、CD付書籍として販売されているので、 それを1冊で構わないから購入してください。 http://www.atmarkit.co.jp/fwin2k/bookreview/w2ksvreskitjp/w2ksvreskitjp.html 完全なるテスト環境であれこれ試してこういう事態に陥るんだったらまだしも、 問題起きたら困るような環境(困ってるからどうにか修正したいんですよね?)では、 それこそ甘く考えないことです。 | ||||||||||||
|
投稿日時: 2004-08-20 07:37
おはようございます.
出掛けなのでちょっとだけ. computer account を「削除して作成しなおした」ようです. その場合,Domain の user account では logon できないと記憶していますが, いかがでしょうか? -> Mattun様 それと,Windows2000 の resource kit は一般に公開されていた記憶があります. 会社で時間に余裕があれば調べてみますが... 以上,とり急ぎ. | ||||||||||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。