- ベストアンサー
ローカルのAdministratorアカウントのパスワードを一括で変更するには
セキュリティの観点から、クライアントPCのローカルの『Administrator』ユーザーアカウント(管理者権限ユーザーアカウント)のパスワードを定期的に変更することになりました。 環境としては、Windows2000Serverによるドメインが構築されて、ネットワーク上のクライアントPC約150台はすべてWindows2000ProfessionalSP4で統一されています。 ドメイン上の管理者ユーザーのアカウントは簡単に変更できますが、ローカルの管理者アカウントのパスワードは1台、1台ログインして変更していかなければなりません。 しかも1週間に一度の頻度が予想されて、たいへんな手間となると思います。 いっそのことローカルの管理者ユーザーアカウントを削除してドメインの管理者ユーザーだけでクライアントPCを管理したいのですが、ネットワークが使用不可で管理者ユーザーでログインしなければならない状況が発生しないとも限りません。 何か良い方法があれば教えてくれますか。 また、このようなケースの場合どのように管理されているかもお聞かせいただけたらと思います。
- sachiyoshi
- お礼率82% (19/23)
- その他(ITシステム運用・管理)
- 回答数2
- ありがとう数1
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
定められたドメインユーザしかローカルログオンできないように、全クライアントのセキュリティを(グループポリシーを使って)設定して、ローカル管理者アカウントではログオンできないようにするとか。 パスワードをかえた場合、必要なサービスが動かなくなったりする恐れがありますので、ローカルログオンを禁止するだけの方が現実的と思われます。
その他の回答 (1)
- BLUEPIXY
- ベストアンサー率50% (3003/5914)
パスワードの定期的変更を強制するという意味なら、 パスワードの有効期限を設定して、ログイン時に変更させる様に設定したらどうでしょうか
お礼
ご回答どうもありがとうございます。 実際に使用する(ドメイン上の)各ユーザーへはドメインのポリシーで定期的(1ヶ月に一度くらい)に変更するよう設定しています。また、ドメイン上の管理者ユーザーアカウントにも1週間に一度の変更を設定しています。 しかし、ローカルの(管理者権限)ユーザーアカウントは、そのクライアントPCでハードやソフトウェア上のトラブルがあった時くらいしかログオンする機会はありません。 有効期限をローカルユーザーに設定しても、1台、1台に実際にログオンしないと変更ができないのが現状です。 では「毎週1台、1台ローカルでログオンして変更すればよいではないか」ということになりますが、これを150台のPCで行うとなるとかなりの労力になってしまいます。 ネットワーク上から変更したり、リモートで変更するなど方法はないかと思いご相談しました。 説明がわかりづらくすみません。 無理な話かとも思いますが、何か良い方法がありましたら参考にしたので、どうかよろしくお願いいたします。
関連するQ&A
- AD環境のアカウントのパスワード有効期限の設定はBuiltinのドメインAdministratorにも適用されるのでしょうか?
ADサーバ環境でドメインが構築されています。 ADサーバ:Windows 2003 server ドメイン参加サーバ:Windows 2003 server x5台 クライアントPC:XP Pro x100台 ドメイン名(仮名):ABC.local ・ADのアカウントをクライアントPCユーザ用に100アカウント作成されています。 ・ドメイン参加サーバ5台にはすべて、BuiltinのドメインAdministratorアカウントでログインしています。 ・ABC.localドメイン全体のセキュリティポリシーとして、Default Domain Policyを以下のように編集します。 -パスワードの有効期限=30日 この環境の場合、パスワードの有効期限が適用されるのはクライアントPC用ユーザの100アカウントだけでなく、BuiltinのドメインAdministratorアカウントにも適用されてしまうのでしょうか? クライアント用ユーザ100アカウントのパスワードだけ、変更要求を出したいと思っています。 ドメインAdministratorのパスワードまで変更しなくてもすむような設定、回避方法はありますでしょうか? 教えていただけますと大変助かります。
- ベストアンサー
- その他(ITシステム運用・管理)
- vbsなどを利用して、Administratorのパスワードを変更させ
vbsなどを利用して、Administratorのパスワードを変更させる方法はありますでしょうか? 100台ほどのPCのAdministratorのパスワードを一斉に書き換えたいと考えております。 AdministratorsにAdministratorとユーザAが存在しており、 ユーザーはUserAでログインしている状況です。 Administratorは管理者しか利用しないのですが、その管理用PWを一斉に書き換えられないかと考えております。 パスワードを変更させるvbsスクリプトを作成し、ユーザーに配布してクリックだけ教えてもらうか、 ログインスクリプトで流そうと考えています。 こういた、ローカルユーザーの書き換えは可能でしょうか? また、vbsを作成した場合、中身を見られないような制限もかける必要があるとおもいます。 この点も含め教えて頂けますでしょうか。
- ベストアンサー
- その他(ITシステム運用・管理)
- Administratorでログインさせない方法
Windows2000ServerやNT4.0の管理者アカウントをネットワークから使わせない方法って無いでしょうか? つまり、ネットワーク経由で共有フォルダなどにアクセスするときにAdministratorというアカウントとパスワードを知っているとアクセスできてしまいます。 また、ドメイン環境でクライアントがログインする際に、同じようにAdministratorのパスワードを知っているとログインできてしまいます。 Administratorというアカウントは基本的にサーバでの作業でしか使わせたくないのです。 (他の作成したユーザは今までとおりログインや共有にネットワーク経由で使用できないと困るのです・・・) どなたかご存知の方よろしくお願い致します。
- 締切済み
- その他(インターネット接続・通信)
- Administratorでネットーワークログインさせない方法
Windows2000ServerやNT4.0の管理者アカウントをネットワークから使わせない方法って無いでしょうか? つまり、ネットワーク経由で共有フォルダなどにアクセスするときにAdministratorというアカウントとパスワードを知っているとアクセスできてしまいます。 また、ドメイン環境でクライアントがログインする際に、同じようにAdministratorのパスワードを知っているとログインできてしまいます。 Administratorというアカウントは基本的にサーバでの作業でしか使わせたくないのです。 (他の作成したユーザは今までとおりログインや共有にネットワーク経由で使用できないと困るのです・・・) どなたかご存知の方よろしくお願い致します。
- ベストアンサー
- Windows NT・2000
- ドメインのAdministratorパスワード変更後、旧パスワードの有効期限について
デフォルトで用意されているドメインのadministratorのパスワードを変更いたしました。 <ドメインコントローラサーバ> -Windows2000 -シングル構成 パスワード変更直後から、当ドメインに参加しているPCでadministratorアカウントでログインする時は新パスワードしか受け付けないと思っていましたが、旧パスワードでもログインできてしまいます。 おそらく旧パスワードに猶予期間が設けられているのかと思うのですが、その期間を調べる方法はありますでしょうか? 初心者で大変申し訳ありませんが、教えていただけると助かります。
- ベストアンサー
- その他(ITシステム運用・管理)
- リモートデスクトップでAdministratorのパスワード変更
お世話になります。 ActiveDirectory ユーザとコンピュータの管理画面より 各PCのローカルのAdministratorのパスワードを変更したいと思っています。 何百台とあるのでいちいちPCの設置場所まで出向くのが大変なのと、 高頻度で変更する為リモート操作で変更できないものか、 と思っているのですが変更しようとすると 警告マークと共に下記メッセージが出てきます。 "Administrator"としてログオンしています。 このローカルユーザーアカウントの パスワードをリセットする選択をしました。 このパスワードをリセットすることにより 復元できない情報の損失が発生する場合があります。 -以下略- 普段ユーザはAdministratorでログインすることは無いのですが (Administrator権限を必要な個人に付与しています)、 証明書の EFS、資格情報、秘密キーが使用できなくなる以外に何か障害が発生しますでしょうか? 検証した際は特に不具合は出なかったのですが、 このメッセージが気になってしまい、本番作業に移る事が出来ません。 どなたかご経験のある方がいらっしゃいましたらご教授下さい。 宜しくお願いいたします。 使用OSはWindows2003server R2です。
- 締切済み
- Windows系OS
- ローカルマシンのAdministratorを作成する方法
WinNTドメインのファイルサーバにドメインのAdministratorでログインし、あるディレクトリのアクセス権を Administrator:フルアクセス user1:フルアクセス Domain users:アクセス権なし の設定にしてしまったら、ドメインのAdministratorもuser1(ドメインユーザ)でもディレクトリが見れなくなってしまいました。 ローカルのAdministratorでログインしようとした所、ローカルのAdministratorがありません。非常に困っています。ローカルのAdministratorが作れればおそらく見に行けると思うのですが、作り方が分かりません。どなたか教えて頂けないでしょうか?また、上記設定のアクセス権は変更できるのでしょうか?
- ベストアンサー
- Windows NT・2000
- ワークグループ共有でユーザパスワード変更について
windows2003サーバーをファイルサーバとして利用しています。 クライアントはXPhomeになります。 ネットワークがドメインではなくワークグループなのでローカルアカウントを作っています。 管理者がパスワードを入力するのではなくユーザー自身にパスワードを変更して貰いたいと思っています。 telnetでnet userコマンドを使えば出来るとは思うのですがユーザーが出来るか怪しいので。 ユーザーのPCから出来てできるだけ簡単な方法を探しています。なにかいい方法がありますでしょうか。 よろしくお願いします。
- 締切済み
- その他(ITシステム運用・管理)
- Windows server へのネットワークログイン
Windows server へのネットワークログイン 現在 サーバー(1台): Windows server 2000 + SQL Server 2000 クライアント(10台): Windows XP SP3 のような環境でPCA社の業務用アプリケーション『商魂・商管』を使用しています。 クライアントで商魂・商管を起動すると自動的にWindowsサーバーとSQLサーバーへ接続/認証が行われ、ログインに成功した場合は使用が可能になります。 ところが最近、クライアントの中の数台が『Administrator』のアカウントで商魂・商管を使用していることが判明しました。そのためサーバー側の『Administrator』アカウントのパスワードが各ユーザー間で共有されています。当然、サーバーに直接『Administrator』としてログインするときと同じパスワードです。パスワードを変更したいのはやまやまなのですが、管理者が『Administrator』パスワードを変更すると、ネットワークで『Administrator』アカウントを使用しているユーザーが商魂・商管を使用できなくなってしまいます。 この状況は最悪なので改善したいのですが・・・ クライアントのローカルアカウントが『Administrator』であっても、サーバーには別ID/パスワードでログインし、問題なく商魂・商管を使用する方法はないでしょうか。ネットワークドライブで可能なことは知っていますが、商魂・商管となると手が出ません。 ユーザー1 クライアントPCのアカウント administrator ← これはこのまま サーバー上のアカウント administrator ← これをUser1に改めたい ユーザー2 クライアントPCのアカウント administrator ←これはこのまま サーバー上のアカウント administrator ← これをUser2に改めたい ユーザー3 クライアントPCのアカウント User3 ← これはこのまま サーバー上のアカウント User3 ← これもこのまま ・ ・ ・ PCA社に問い合わせましたが、アプリケーションの使い方については専門家でも、こういったネットワークの問題についてはわからないこともある、との返答でした。(これはこれで仕方のない話ですが) この問題は解決できないのでしょうか・・・?
- ベストアンサー
- その他(Windows)
- administratorのパスワードを忘れた場合
ドメインに参加していないXPのマシンで、administratorの パスワードが分からないくなってしまいました。 (ローカルユーザも不明) よって、現状ログインができない状況となっております。 何か良い回避方法ありますか? よろしくお願いいたします。
- 締切済み
- Windows系OS
補足
さっそくのご回答どうもありがとうございます!! グループポリシーを使って制限をかける方法がありましたね。気がつきませんでした。参考になります。 また確かにローカルログオン禁止が現実的と私も思います。 (パスワード変更によってクライアントPCのサービスが動かなくなるケースは現在のところないと思いますが) ただ、上の希望としては『ローカルのパスワードを定期的に変更している』という実績が欲しいようなのです。 「osamuy」さんのご意見も具申してみようと思います。