- - PR -
2000AD/NTドメイン混在環境で、2000クライアントからのパスワード変更にログオンが必要になってしまう
1
| 投稿者 | 投稿内容 | ||||
|---|---|---|---|---|---|
|
投稿日時: 2004-03-08 15:21
はじめまして。よろしくお願いします。いきなり質問で恐縮です。
現在、NTドメインから2000ADへ移行の途中にあり、PDCは2000AD、BDCはNTDCという混在環境で運用しています。クライアントはWindows2000とWindowsXPが混在しています。 ドメインユーザーのパスワードには42日間の有効期限と、期限の14日前からパスワード変更のダイアログが出るように設定しています。 この環境で、パスワード有効期限直前のユーザーがWindows2000クライアントにてドメインにログオンしようとするとパスワードの変更を促すダイアログが(正常に)出ます。しかし、ユーザーがこれに従いパスワード変更の手続きをすると「パスワードを変更するアクセス権がありません」というとても理不尽なメッセージが出てパスワードを変更できず、ドメインにログオンできません。 既にドメインにログオン済みの他のクライアントを借りて、Ctrl+Alt+Delで「Windowsのセキュリティ」ダイアログを出して、パスワードを変更することは出来ます。 このことから、NTのドメインユーザーマネージャの「原則」メニューにある「アカウントの原則」で「パスワードの変更にはログオンが必要」が有効になっているのではないかと思い、調べましたがこの設定のチェックボックスはクリアでした。 2000サーバーで、「ADコンピューターとユーザー」やポリシー設定などを調べましたが、NTの「パスワードの変更にはログオンが必要」に該当する項目を見つけられませんでした。 WindowsXPクライアントからは問題なくログオン時のパスワード変更やログオンが出来ています。また、純粋なNTドメイン時代には上記のような問題は発生しておりませんでした。 現在は、この問題に遭遇したユーザーには、他の人のログオン済みクライアントからパスワードの変更を行ってもらい、管理者側では該当ユーザーのパスワードの有効期限を無制限にする、という対処を行っています。 この状況を打開すべく、「パスワードの変更にはログオンが必要」関連を調べているのですが、埒が明きません。皆様のお知恵を拝借したく、相談申し上げます。よろしくお願いします。 | ||||
|
投稿日時: 2004-03-08 21:06
たしかに理不尽ですね。 こんな理不尽なのもあるようですが。 "You Do Not Have Permission to Change Your Password" Error Message When You Change Your Password At Logon(英語) こちらに該当していませんか? Cannot Change Password in Windows Without Logging on to Domain(英語) | ||||
|
投稿日時: 2004-03-09 16:04
なな様、レスポンスありがとうございます。
Cannot Change Password in Windows Without Logging on to Domain(英語) の資料は初めて読みました。で、「正解キター!」と喜び勇んで本日試してみましたが、残念なことに問題は解消されませんでした。 この資料の概要は、「ログオン前のサーバーとクライアント間の通信は"null session connection"で行われるので、Everyoneグループにパスワードの変更許可を与えること」ということでした。 資料で解説されているように、Usersグループに「Everyoneにパスワード変更許可」を付与してみましたが、状況は変わりませんでした。 この変更がUsersコンテナに格納されている各ユーザーオブジェクトへ継承されていなかったので、テスト用のユーザー・アカウントに対して、直接「Everyoneにパスワード変更許可」を付与してみましたが、やはり状況は変わりませんでした。 現状では、、 テスト用ユーザー・アカウントで「次回ログオン時にパスワードの変更が必要」をチェックすると、Windows2000クライアントではログオン時にパスワードを変更できず、このためログオンが出来ません。WindowsXPクライアントからはログオン時のパスワード変更が可能で、ログオンできます。 また、「Everyoneにパスワード変更許可」を削除してみると、2000でもXPでも「パスワードを変更するアクセス許可がありません」となり、パスワードを変更することが出来なくなりました。 以上から、「Everyoneにパスワード変更許可」が鍵を握っているのでは?と思いますが、なぜクライアントの種類(2000、XP)で結果が異なるのかが分かりません。 なな様に教えて頂いた資料によって一歩正解に近づいたことは間違いないのですが、最後の壁(たぶん)を超えられません。もし何かご存知の方がおられましたら、どうぞよろしくお願いします。 | ||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。