[Network] | |||||||||||||||
Windows OSの復元後、ドメイン・ログオンに失敗する現象を防ぐ――コンピュータ・アカウントのパスワード自動更新を無効化する――
|
|||||||||||||||
|
解説 |
テスト環境を簡単に復元できるよう、例えばディスク・イメージング・ツールでWindows OSのディスクをそのままイメージ・バックアップしたり、仮想マシンであればスナップショットを取得したりするのは、よくあることだ。しかし、Windowsをドメインに参加させたままイメージやスナップショットを取得した場合、それを復元すると、再起動後に次のようなエラー・メッセージが表示されてドメインにログオンできないことがある。
このトラブルには、コンピュータ・アカウントのパスワードとその自動的な定期更新が関係している。
ユーザー自身とドメイン・ユーザー・アカウントの関係と同じく、ドメインに参加しているコンピュータにも「コンピュータ・アカウント」があり、その情報はドメイン・コントローラの持つデータベースに格納されている。そしてコンピュータ・アカウントにもパスワードがあり、ドメインとコンピュータの双方に保存されていて両者間の認証に利用される。ただし、ユーザー・アカウントと違ってコンピュータ・アカウントのパスワードは自動で更新され、通常はユーザーの目に触れることはない。デフォルトの更新間隔である30日が経つと、コンピュータはドメイン・コントローラと通信しあって新たなパスワードを生成し、双方で更新・保存する。
ところが、ドメインとコンピュータの間で何らかの理由によりパスワードが食い違ってしまうと、そのコンピュータはドメインに正しく参加していないと見なされ、ドメインにログオンできなくなってしまう。上記のエラーの場合、まずディスク・イメージの作成後、そのコンピュータとドメインの間でパスワードの定期更新が発生し、パスワードが変更されてしまった。次にディスク・イメージからWindowsのシステムを復元したことでコンピュータ側のパスワードが古いものに戻り、ドメイン側のパスワードと食い違いが生じた。その結果、コンピュータの認証が失敗するようになり、またパスワードの自動更新もできなくなってしまった。
この状態に陥ると、いったんコンピュータをドメインから外してワークグループに戻してから再びドメインに参加させる、などといった手順で修復するまでドメインにはログオンできない。これではテスト環境の復元に手間がかかるばかりだ。
そこでもしコンピュータ・アカウントのパスワード自動更新を止めて、ずっと同じパスワードを使い続けるようにすれば、こうしたトラブルは防止できる。ただし、パスワードが変わらないと、パスワードが窃取されてドメインへの侵入に悪用される危険性が高くなる。また古いディスク・イメージを盗まれた場合、容易にドメインへログオンされる危険もある。
こうした危険性を踏まえ、コンピュータ・パスワードを無効化するのはテスト環境だけに留めておき、実運用環境では避けた方が無難だろう。
操作方法 |
コンピュータ・アカウントのパスワードの自動的な更新を無効化するには、レジストリを修正する方法とグループ・ポリシーを設定する方法の2種類がある。いずれも、ドメインに参加しているクライアント・コンピュータ側で作業を行う。
レジストリを修正してパスワードの自動更新を無効化する
レジストリ修正によってコンピュータ・アカウントのパスワード自動更新を無効化するには、ドメイン・ログオンの認証にかかわるNet Logonサービスの設定を下表のように変更する。
[注意] |
レジストリに不正な値を書き込んでしまうと、システムに重大な障害を及ぼし、最悪の場合、システムの再インストールを余儀なくされることもあります。レジストリ・エディタの操作は慎重に行うとともに、あくまで御自分のリスクで設定を行ってください。何らかの障害が発生した場合でも、本Windows Server Insider編集部では責任を負いかねます。ご了承ください。 |
項目 | 内容 |
キー | HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters |
値の名前 | DisablePasswordChange |
値の型 | REG_DWORD型 |
値の内容 | 1→コンピュータ・アカウントのパスワードは自動で更新されない 0または存在しない→コンピュータ・アカウントのパスワードは自動的に定期更新される |
コンピュータ・アカウントのパスワード自動更新を無効化するためのレジストリ・エントリ |
レジストリを修正したら、次のようにNet Logonサービスを再起動する。もちろん、システムの再起動でもよい。
C:\>net stop "Net Logon" |
これで実際にパスワードの自動更新が無効化される。
グループ・ポリシーでパスワード更新を無効化する
グループ・ポリシーでパスワードの自動更新を無効化するには、まずグループ・ポリシー・エディタを起動する。ローカル・コンピュータが対象なら、次のコマンドラインを実行すると起動できる。
gpedit.msc |
複数のコンピュータ/ユーザーに対して一律に設定するなら、GPMCなどの管理ツールからグループ・ポリシー・エディタを起動する。グループ・ポリシー・エディタの基本的な使い方については、TIPS「グループ・ポリシー・エディタの使用法」を、GPMCについてはTIPS「グループ・ポリシー管理を強力に支援するGPMCを活用する」を参照していただきたい。
グループ・ポリシー・エディタを起動したら、左ペインのツリーから次のエントリを見つける。
- [コンピューターの構成]−[ポリシー]−[Windows の設定]−[セキュリティの設定]−[ローカル ポリシー]−[セキュリティ オプション]
※2番目の[ポリシー]が見つからなければ、[Windows の設定]からたどっていく。
[セキュリティ オプション]エントリを選んだら、右ペインの[ドメイン メンバ: コンピュータ アカウント パスワード: 定期的な変更を無効にする]ポリシーをダブルクリックしてプロパティを開く。
グループ・ポリシー・エディタにおける、コンピュータ・アカウントのパスワード自動更新を無効化するための設定個所 | ||||||
グループ・ポリシー・エディタを起動したら、左ペインのツリーを展開してのエントリを見つける。 | ||||||
|
次のようにプロパティが表示されたら、[このポリシーの設定を定義する]にチェックを入れてから[有効]ラジオボタンを選択し、[OK]ボタンをクリックする。
[ドメイン メンバ: コンピュータ アカウント パスワード: 定期的な変更を無効にする]ポリシーのプロパティ画面 | ||||||||||||
ここでコンピュータ・アカウントのパスワードの自動的な定期更新を無効化または有効化できる。 | ||||||||||||
|
最後に対象のコンピュータを再起動する。これにより、上記のグループ・ポリシーが適用されるとともにNet Logonサービスが再起動され、設定変更が反映される。以上で設定作業は完了だ。
なお、Windows 2000でグループ・ポリシー・エディタを起動すると、[ドメイン メンバ: コンピュータ アカウント パスワード: 定期的な変更を無効にする]ポリシーが表示されないことがある。ただし、この場合でもポリシー適用は可能だったので、Windows XP以降のWindows OS上でグループ・ポリシー・エディタを起動して設定を変更すればよいだろう。
◆
なお、すでにパスワードの食い違いが生じてドメインにログオンできなくなった状態で上記の設定をしても、パスワードは修復されない。パスワードが更新される前に、あらかじめ上記の設定をしておく必要がある。
この記事と関連性の高い別の記事
- コンピュータ・アカウントを登録し直す(TIPS)
- ドメインのユーザー・パスワードを変更する(TIPS)
- パスワードの有効期間を無期限にする(TIPS)
- Windowsでシステムに自動ログオンする方法(ユーザー管理ツール編)(TIPS)
- ログオンを省略してWindows 2000を利用できるようにするには(レジストリによる設定法)(TIPS)
このリストは、デジタルアドバンテージが開発した自動関連記事探索システム Jigsaw(ジグソー) により自動抽出したものです。
更新履歴 |
【2010/11/24】公開当初、「解説」において、
「上記のエラーの場合、2カ月以上前のディスク・イメージからWindowsのシステムを復元すると、ドメインに比べてコンピュータ側のパスワードは2カ月=30日×2回分、つまり2回分以上古いものに巻き戻る。その結果、パスワードが食い違って照合に失敗し、コンピュータの認証も失敗するようになり、またパスワードの自動更新もできなくなってしまう(なお、1回分古いだけなら自動的に復旧できるようだ)。」と記述していました。しかし実際には、ディスク・イメージを作成してから2カ月あるいは1カ月以内に復元しても、その間にコンピュータ・アカウントのパスワードが更新されると、コンピュータの認証やパスワードの自動更新に失敗することがあります。そこで、イメージの作成から復元までの期間を示す記述を削除し、あわせて該当する解説部分を修正しました。以上、お詫びして訂正いたします。 |
「Windows TIPS」 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
|
|