- PR -

ドメインユーザをローカルに登録するメリットは?

1|2 次のページへ»
投稿者投稿内容
ブリ
会議室デビュー日: 2006/04/09
投稿数: 17
投稿日時: 2006-04-09 11:09
初めまして、ネットワーク管理者になりたてのブリと申します。

さて、この度100台程度のクライアントとWindowsSever2003のお守りを担当することになったのですが、現在はWorkgroup内でのファイル共有でファイルサーバを利用しております。

今後、会社のセキュリティガイドライン遵守のため、パスワードの有効期限を設定することになり、ActiveDirectoryを導入してユーザの一元管理を行うよう会社から指示があって、現在ワークグループからADへの移行作業実験中です。

そこで、質問なのですが、各クライアントをドメインに参加させる際に、クライアントにドメイン上のユーザを「PowerUser」などで登録しておくメリット、デメリットはどういったことがあるのでしょうか。

前任の担当者からは、クライアントにドメインのユーザを登録する必要はないと言われていたのですが、登録しておくと万が一サーバが止まってもローカルで擬似的に認証が成り立つ(もちろんサーバ上のサービスは何も利用できないですが)ので、ローカルでの作業だけなら支障をきたさないというメリットがあるように思ったですが。(ユーザさんはPC初心者が多いので、ローカルで入りなおすといった指示の実行が難しいため)

ちなみに、ドメインに参加させたユーザは、「Domain Users」と「Users」グループに所属させています。また、現在Workgroup上のクライアント種別は、Win2000:約60台、WinXPpro:約20台、WinXPHome:2台、Win98SE:1台、WinNT4.0:1台です。

サーバはあまり触ったことがなく、よくわかってない面が多々ありますので、申し訳ありませんが不足情報はご指摘いただければ幸いです。

アドバイス、よろしくお願いいたします。

[ メッセージ編集済み 編集者: ブリ 編集日時 2006-04-09 11:10 ]

[ メッセージ編集済み 編集者: ブリ 編集日時 2006-04-09 11:11 ]
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2006-04-09 12:37
こんにちわ.
引用:

ブリさんの書き込み (2006-04-09 11:09) より:

そこで、質問なのですが、各クライアントをドメインに参加させる際に、クライアントにドメイン上のユーザを「PowerUser」などで登録しておくメリット、デメリットはどういったことがあるのでしょうか。

その必要はありません.
むしろ欠点のほうがはるかに多いでしょう.
Domain の User Account と Local の User Account は,
たとえ名称も含めて同じ内容にしたとしても全く別のものとして扱われます.
ですから例えば,Domain の User の Desktop が
Local の同じ名前の User の Desktop に反映されることはありません.
ですから,
引用:

前任の担当者からは、クライアントにドメインのユーザを登録する必要はないと言われていたのですが、登録しておくと万が一サーバが止まってもローカルで擬似的に認証が成り立つ(もちろんサーバ上のサービスは何も利用できないですが)ので、ローカルでの作業だけなら支障をきたさないというメリットがあるように思ったですが。(ユーザさんはPC初心者が多いので、ローカルで入りなおすといった指示の実行が難しいため)

その「前任の担当者」のご指摘どおりで問題はありません.
Active Directory の User Account で logon すると,
その profile は local に cache copy を保持します.
Default ではこの cache を10まで保有できますが,
そのため,Domain Controller と通信できなくても
「擬似的に認証」という条件は満たされます.

ちなみに,local に Domain User と同じ Account を登録する運用では
「ローカルで入りなおすといった指示」が必要になるという認識はありますか?
引用:

ちなみに、ドメインに参加させたユーザは、「Domain Users」と「Users」グループに所属させています。また、現在Workgroup上のクライアント種別は、Win2000:約60台、WinXPpro:約20台、WinXPHome:2台、Win98SE:1台、WinNT4.0:1台です。

Active Directory で Domain Users に所属していれば,
Active Directory に参加した Windows OS では
local users に所属することになります.
これは,Windows が Active Directory に参加すると同時に,
Windows local の users に Domain Users が加えられることによるものです.
ですから,Domain Users に User Account を作れば,
自動的に Active Directory に参加している Windows の Users に
User Account が含まれることになります.
引用:

サーバはあまり触ったことがなく、よくわかってない面が多々ありますので、申し訳ありませんが不足情報はご指摘いただければ幸いです。

これは Server 単体の問題ではありません.
ですので「サーバはあまり触ったことがなく」という時点で
Active Directory の運用は非常に困難ではないかと思われます.

以上,ご参考までに.
ブリ
会議室デビュー日: 2006/04/09
投稿数: 17
投稿日時: 2006-04-10 00:43
さっそくのアドバイス、ありがとうございました。

確かにドメイン上のユーザをローカルに登録する必要はなさそうですね。


少し言葉が足りなかったので補足しますと
以前、ActiveDirectoryの環境下でパソコンを使用していた際に
サーバがとまっている場合や、もしくは何かの都合でLANケーブルの
届かないところで作業したい場合に、LANケーブルを抜いた状態で
認証を行って使っておりました。
なので、サーバがとまった状態なら、いちいち認証の接続先を
ローカルPCに変えてもらわなくても、「LANケーブル抜いて使って
ください」と言えばすぐに理解してもらえる、という意味です。

また、同じ方法で(LANケーブルを外して)ログインした際に、
たまに「ドメインが存在しません(もしくは接続できないとか
そんな感じ)」のメッセージが出てログインできないケースがあったので
ローカルにドメインユーザを登録しているかいないかの違いによるものかと
思っていたのですが、kazさんの話だと、cacheの情報によるものだったようですね。
だとすると、なぜそのような違いが発生したのか少し疑問が残ります。
(その他の環境の違いを説明できないのでなんとも答えようがないと思いますが)

 >Domain の User Account と Local の User Account は,
 >たとえ名称も含めて同じ内容にしたとしても全く別のものとして扱われます.
 >ですから例えば,Domain の User の Desktop が
 >Local の同じ名前の User の Desktop に反映されることはありません.

相談内容の説明が、どこか根本的に間違っているのかもしれませんが
Localの同じ名前のUserではなく、ドメイン上のUserをローカルに登録する、という
意味合いです。この場合は、Documents and Settingsファイルも同じものを使用して
いるので、Desktopファイルの中身も同じです。

しかし、大前提としてkazさんがおっしゃるように、ADの運用は荷が重過ぎると
思いますので、ドメインによる管理をしなくても、パスワード変更の一元管理を
他の方法でできないか、別途考えたいと思います。
別スレを立てるつもりですが、もし良い方法があれば、是非アドバイスください。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2006-04-10 01:08
引用:

ブリさんの書き込み (2006-04-10 00:43) より:

また、同じ方法で(LANケーブルを外して)ログインした際に、
たまに「ドメインが存在しません(もしくは接続できないとか
そんな感じ)」のメッセージが出てログインできないケースがあったので
ローカルにドメインユーザを登録しているかいないかの違いによるものかと
思っていたのですが、kazさんの話だと、cacheの情報によるものだったようですね。
だとすると、なぜそのような違いが発生したのか少し疑問が残ります。
(その他の環境の違いを説明できないのでなんとも答えようがないと思いますが)

一度も logon したことがなければそのようになります.
でなければ,cache が 10 user 分を超えた場合,古いものが削除されたと思います.
あるいは Active Directory などの policy で cache を制限していれば
同様のことが起きます.
引用:

 >Domain の User Account と Local の User Account は,
 >たとえ名称も含めて同じ内容にしたとしても全く別のものとして扱われます.
 >ですから例えば,Domain の User の Desktop が
 >Local の同じ名前の User の Desktop に反映されることはありません.

相談内容の説明が、どこか根本的に間違っているのかもしれませんが
Localの同じ名前のUserではなく、ドメイン上のUserをローカルに登録する、という
意味合いです。この場合は、Documents and Settingsファイルも同じものを使用して
いるので、Desktopファイルの中身も同じです。

根本的に間違っているというより,local に登録する必要がないけど,
敢えて登録した,だから「同じ」ではなく
「最初から一つしかない」ということですよね?
つまり DomainUsers(即ち local の Users)である User Account を
Users にも登録しているから,logon する際にはそれが区別されていないと.
※そういう運用をしたことがないので正常に機能するかどうかわかりませんが,
※正常に機能するもんなんですね.
引用:

しかし、大前提としてkazさんがおっしゃるように、ADの運用は荷が重過ぎると
思いますので、ドメインによる管理をしなくても、パスワード変更の一元管理を
他の方法でできないか、別途考えたいと思います。

ここでも何度か議論になりました.
そのたびに「できません」という意味に近い「困難です」という結論に達しています.

以上,ご参考までに.
ブリ
会議室デビュー日: 2006/04/09
投稿数: 17
投稿日時: 2006-04-13 21:30
たびたび詳しい解説ありがとうございました。

 >一度も logon したことがなければそのようになります.
 >でなければ,cache が 10 user 分を超えた場合,古いものが削除されたと思いま> >す.
 >あるいは Active Directory などの policy で cache を制限していれば
 >同様のことが起きます.

なるほど、そういうことだったんですね。確かに昨今ドメイン参加作業を行っていますが、ローカルにユーザを登録しなくてもLANケーブルを抜いた状態で認証が完了しました。(しかし、認証にものすごく時間がかかるのは、ネットワークの問題以外で、設定などで早くならないのでしょうか?)


 >根本的に間違っているというより,local に登録する必要がないけど,
 >敢えて登録した,だから「同じ」ではなく
 >「最初から一つしかない」ということですよね?
 >つまり DomainUsers(即ち local の Users)である User Account を
 >Users にも登録しているから,logon する際にはそれが区別されていないと.
 >※そういう運用をしたことがないので正常に機能するかどうかわかりませんが,
 >※正常に機能するもんなんですね.

kazさんの書き込みを読んでなるほどと思い、localにドメインユーザは登録しない方向で各端末のドメイン参加作業を進めていたのですが、一部、どうやらOracle関連のアプリや、具体的にどういう動きをしているのかわからないのですがVBかVCで作られた業務用アプリ等がDomainUsersでは機能せず、やむなくドメイン上のユーザをローカルにPowerUserとして登録して、使える状態にしています。

ユーザがローカルフォルダを共有する必要がある場合にも同じことが起こると思うのですが、もっとよいユーザ管理方法はあるのでしょうか?少なくともDomainAdminsにするよりはよかろうと上記の方法をとっておりますが、もっとよい方法があれば是非教えてください。

[ メッセージ編集済み 編集者: ブリ 編集日時 2006-04-13 21:33 ]
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2006-04-13 22:05
こんばんわ.
引用:

ブリさんの書き込み (2006-04-13 21:30) より:

(しかし、認証にものすごく時間がかかるのは、ネットワークの問題以外で、設定などで早くならないのでしょうか?)

結局「正常ではない動作」という意味で,それは致し方ないことだと思います.
引用:

kazさんの書き込みを読んでなるほどと思い、localにドメインユーザは登録しない方向で各端末のドメイン参加作業を進めていたのですが、一部、どうやらOracle関連のアプリや、具体的にどういう動きをしているのかわからないのですがVBかVCで作られた業務用アプリ等がDomainUsersでは機能せず、やむなくドメイン上のユーザをローカルにPowerUserとして登録して、使える状態にしています。

既に正解に近いところに来ていると思いますけど?
PowerUsers であれば動作するんですよね?
で,local の Users に含まれる DomainUsers では動作しない.
であれば,DomainUsers を PowerUsers に含めればよろしいのでは?
そうすることで,local 上では DomainUsers は Users ではなく
PowerUsers の権限でその Windows を利用できることになります.
※実際同じような理由でやったことがあります.
引用:

ユーザがローカルフォルダを共有する必要がある場合にも同じことが起こると思うのですが、もっとよいユーザ管理方法はあるのでしょうか?

local folder を共有する云々はよく意味がわかりません.
ブリ
会議室デビュー日: 2006/04/09
投稿数: 17
投稿日時: 2006-04-13 22:27
  >>(しかし、認証にものすごく時間がかかるのは、ネットワークの問題以外で、
  >>設定などで早くならないのでしょうか?)
 >結局「正常ではない動作」という意味で,それは致し方ないことだと思います.

また、言葉が抜けてしまいました。。。
普通に認証するとものすごく時間がかかるので、ついついLANケーブルを抜いてcacheの情報で認証をとってしまうという裏技を使ってしまいがちだ、という意味です。
(たまにアクセス権限がおかしくなるので、そのときはローカル接続を無効にして再度有効にすると直ったりします・・・邪道ですが)

ようは、サーバを見に行くと起動までものすごく時間がかかってしまうということです。VLANとかは組んでないですが、起動クライアントが20台くらいでも認証だけで1分くらい待たされるので(Widowsの起動と併せると使えるようになるまで2分以上かかります)チェック項目等々を減らして認証待ち時間を短縮することはできないのでしょうか。

 >既に正解に近いところに来ていると思いますけど?
 >PowerUsers であれば動作するんですよね?
 >で,local の Users に含まれる DomainUsers では動作しない.
 >であれば,DomainUsers を PowerUsers に含めればよろしいのでは?
 >そうすることで,local 上では DomainUsers は Users ではなく
 >PowerUsers の権限でその Windows を利用できることになります.
 >※実際同じような理由でやったことがあります.

  >>ユーザがローカルフォルダを共有する必要がある場合にも同じことが起こると
  >>思うのですが、もっとよいユーザ管理方法はあるのでしょうか?

 >local folder を共有する云々はよく意味がわかりません.

なるほど!ようやく意味がわかりました。
ローカルではなく、ドメインコントローラのビルトインのPowerUsers
ってことですよね?
明日早速やってみます。

Localフォルダを共有するというのは、なんでそんな作り方をしているのか知りませんが、ネットワーク上のある特定の端末の特定のフォルダにプログラムをおいているので、スクリプトの中にそのパスが直書きされているようで、共有を切ると使えなくなるというやっかいな代物があるために、ローカルフォルダを他のユーザと共有して使う必要を無くせないということです。でも、「フォルダの共有」機能を使わなくても何か良い方法とかあるんですかね。

[ メッセージ編集済み 編集者: ブリ 編集日時 2006-04-13 22:28 ]

[ メッセージ編集済み 編集者: ブリ 編集日時 2006-04-13 22:29 ]
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2006-04-13 22:45
引用:

ブリさんの書き込み (2006-04-13 22:27) より:

普通に認証するとものすごく時間がかかるので、ついついLANケーブルを抜いてcacheの情報で認証をとってしまうという裏技を使ってしまいがちだ、という意味です。
(たまにアクセス権限がおかしくなるので、そのときはローカル接続を無効にして再度有効にすると直ったりします・・・邪道ですが)

普通に認証すると通常はそんなに時間はかかりません.
参照する DNS Server の設定に間違いがあるのでは?
同じ network に Domain Controller があれば,DNS Server を参照しなくても
結果的には logon できます,
しかし,Active Directory の要件として DNS は必須です.
その辺の設定を見直されてみては?
引用:

 >local folder を共有する云々はよく意味がわかりません.

Localフォルダを共有するというのは、なんでそんな作り方をしているのか知りません
-snip-
い方法とかあるんですかね。

ゴメンナサイ,やはりよくわかりません.
1|2 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)