• 締切済み

Active Directoryでのユーザ制限について

Active Directoryでのネットワーク毎のユーザ制限について教えてください。 ネットワーク環境は以下の2つ有り、 A:172.1.0.0/16、B:172.2.0.0/16 AネットワークではユーザAがログインでき、 BのネットワークではユーザAがログインできない環境を作りたいのですがグループポリシーでの制限は可能でしょうか? ・Active Directoryは2000と2003の混合モードです。 ・各ネットワークにADサーバが1台有ります。 ・FSMO用に別サーバが1台有ります。 ・各ネットワークにはPCが約1000台ぐらいあります。   ※そのためPCの設定変更が難しいです。 以上

みんなの回答

  • monda
  • ベストアンサー率87% (50/57)
回答No.1

[前提として] ・ユーザAはドメインアカウント ・ログイン対象のクライアントはドメイン参加済み ・「Active Directory サイトとサービス」でIPサブネット毎に  サイトを設定済。 [設定方法] 上記の条件が満たさせているならば、比較的容易に設定可能です。 ●ポリシーオブジェクトを作る ・ドメイン管理者権限で[グループポリシーの管理]を起動。  グループポリシー管理コンソールSP1がインストールされて  いないならばインストールしてから実行。 ・新規グループポリシーオブジェクトを作る。 ・[コンピュータの構成][Windowsの設定][セキュリティの設定]  [ローカルポリシー][ユーザー権利の割り当て]の  [ローカルログオン]もしくは[ローカルでログオンを拒否する]  を利用して、許可内容もしくは拒否内容を設定する。 ●ポリシーをサイトにリンクする。 ・[グループポリシーの管理]で、フォレストを展開、サイトも  展開(表示されていなかったら表示させてから)、対象サイトに  先のポリシーオブジェクトをリンクする。 サイトが [Default-First-Site] しか無かったら… ・事業所単位など、WAN回線を経由しない範囲毎にサイトを作る。 ・存在する全サブネットを[Subnets]以下に作って、サイトと  関連付ける。 ・各サイトを結ぶWAN回線を [Inter-Site Transports][IP]以下  に作って、サイトに関連付ける。 ・各DCを現存するサイトに配置する。 といった作業が必要です。 設定作業はいくつかの積み重ねですので、ひとつやるごとに 期待どおりであるか検証しながら進めましょう。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. その他(ITシステム運用・管理)

関連するQ&A

  • Active Directory ユーザアカウントについて

    Active Directory ユーザアカウントについて 教えてください。 以下の事象が起きております。 1. ADサーバにてユーザアカウント「user001」を作成 2. クライアントPCにて、コンピュータ名の変更画面でドメインに参加。 その際に、user001/password を入力し認証OK。 3. 再起動後、ADにログイン。→ ログイン成功! 4. シャットダウン 5. LANケーブルを外す 6. 起動 7. ADにログイン → ログイン成功!........ これ、ADサーバで認証されてませんよね? 因みにパスワードをわざと間違えるとログインできません。 一旦ローカルに「user001.AD」のプロファイルが作成されて、それを読み込んで起動しているだけのように見えるのですが、、、 何か設定が間違っているのでしょうか? 何かお分かりになる方がいらっしゃいましたら、よろしくお願い致します。 [環境] ADサーバ:Windows Server 2008 クライアントPC:WindowsXP-Pro

  • Active Directoryの再構築について

    Windows2000Serverの2台でActive Directoryを構築して運用しています。 前任者からこのサーバーの管理を引き継ぎました。 構成はAサーバーを主とし、Bサーバーを副としてADの設定をAの従属の形で構成しています。 ところが、Aサーバーが故障したので、BサーバーのIPアドレスをAサーバーのアドレスに変更して Bサーバーを主として復旧しました。 ところが、ユーザーの新規登録が出来なくなりました。 Aサーバーの再インストールしてADの構成をBサーバーに従属する形で再構成し、Aサーバーで登録しても同じでした。 エラーメッセージは、「オブジェクトを作成出来ません」と表示されます。 インターネットでMicrosoftのホームページに、文書番号822053のレポートに該当の現象の報告がありました。 その対処方法では、此方にはバックアップ情報が無くこの手順では旨く行かないと考えています。 私としては、ADを再構築するしか方法は無いかと覚悟していますが、他に対処方法があるのでしょうか? また、再構築する場合の手順として現在のバックアップサーバーのAを運用ネットワークから切り離し、 BサーバーのADを一旦削除し、新しくADを再構築する手順になると思いますが、 私自身、Active Directoryの構築の経験が全く無い上、詳しい資料が無いので手探り状態で対応しており、 復旧に苦労しています。 何方か、ADの削除や新規構築のやり方の注意するべきポイントを教えて頂けないでしょうか? 私自身、インターネットで色々資料は取寄せていますが、旨く出来るか判らない状態です。 失敗するとログイン出来なくなれば、業務に支障が生じるので再構築の実行に二の足を踏んでいる状態です。 追伸 この質問を1度出したのですが、操作ミスで質問が登録いない様でしたので、再度投稿しております。 もし、前回投稿した質問が残っていて重なっておりましたらお詫びします。

  • ネットワーク接続のユーザー制限

    最近ネットワーク管理担当になったのですが、ネットワーク接続にユーザー制限を設けたくて悩んでいます。 一台のPCを複数名で使用し、アドミニからのインターネット接続のみを許可し、制限ユーザーからは接続できないようにしたいのですがどうすればよろしいですか?一度アドミニでログインすれば制限ユーザーも使用できるように設定できるのが一番望ましいです。 環境はWin XP Proでルーターを使用して使っています。 よろしくお願いします。

  • Active Directory について教えてください。

    Active Directory について教えてください。 Windows Server 2008 です。 2台のサーバにADをインストールし冗長化を図ろうと考えております。 しかし、別の建物に1台ずつ配置する為、セグメントが異なります。 シングルドメインで構築する事はできますでしょうか? よろしくお願い致します。

  • Active Directory によるリムーバブルメディアへの制限方法

    題名の通りなのですが、Windows2003Serverにおきまして 数百台へ一気にActive Directory によるリムーバブルメディアへの 制限かけたいと考えています。そのような事は可能でしょうか? お手数ですがご教示下さい。よろしくお願いいたします。

  • active directoryとサーバー構築

    以下のような手順でサーバー環境を構築したいと思います。 1 2台のサーバーに、windows server 2008 R2をインストール。 2 それぞれのコンピュータ名、パスワードをA,aaa,B,bbbとする。(画像参照) 同時にIPアドレスをそれぞれ設定する。(ここでは省略) 3 Aにactive directory(以下AD)を構築する。ドメイン名はexam.comとする。   ディレクトリサービス復元モード Administrator パスワードをxxxとする。  ここから質問ですが、サーバーBに、ドメインのAdministratorとしてログオンするにはどのような方法でADに参加、ログオンしていけばよいのでしょうか。  よろしくお願いします。

  • Windows2003でのActive Directory移行

    よろしくお願いします。 近々会社でWindows2003(Aサーバ)からWindows2003(Bサーバ)へプライマリドメインを移行し、運用する予定でいます。 この担当をするのですが、ネットで調べてもWindows2003同士の移行方法が見つかりません。 今の段階ではMicrosoft社の『Windows Server 2003 Active Directory Domain Rename Tools』(ドメイン名変更ツール)を使用すればよいのかと考えていますが、このツールで以下のことがいまいちわかりません。 ・AサーバのActive Directoryの設定(UOなど)をそのままBサーバに持っていけるのか。 ・Bサーバで不具合が生じた場合、Aサーバをすぐに元に戻せるのか。(リカバリができるのか)  またAサーバに障害は発生しないか。 ・ドメイン名は、AサーバとBサーバは同名にして大丈夫か(作業時には物理的にAサーバを切離し、Bサーバをプライマリドメインに切替える予定です) Aサーバ・Bサーバ共に環境としましては、 ・Windows Server 2003, Standard Edition(DNSサーバとして使用) ・ドメインは1つ ・ADにはフォレストはなし(Aサーバ) ・クライアントは15台 必要な情報がありましたら、付け加えますので、どうかお願いします。

  • ユーザープロファイルの利用方法で困ってます。

    あるPCをADドメインから切り離してローカルネットに切り替えたいと思います。ADドメイン用のユーザーAと、ローカル用ユーザB、Administratorの3つのユーザーがあります。切り離し後はユーザーBで使います。ADドメイン時と同じ環境にしたいので、切り離し後、Administratorでログインし、ADドメイン用のユーザーAのプロファイルをシステムプロパティのユーザープロファイルの機能を使いc:\profileでコピーし、更に使用を許可するユーザーにローカル用ユーザーBを指定しました。これで後はローカル用ユーザーBでログインしなおせば、後は自動でADドメイン用のユーザーAの環境になるのでしょうか?ちなみにインターネットとメールは使いません。

  • Active Directoryは何でしょうか

    最近、Windows2008サーバーを購入したのですが、用語でActive Directoryという言葉が出てきたのですが、何の事かさっぱりわかりません。 サイトで調べたのですが、実際体験しないと感覚がつかめません。 企業でよくサーバーにActiveDirectoryを設定?してるようですが・・・ そもそも、Active Directoryは何でしょうか。ActiveDirectoryが生まれた背景や理由が知りたいです。 他のOSやLinuxでは、代わりになるものはありますか? また、ActiveDirectoryでどのような便利な事になるのでしょうか? 一度、体験してみたいのですが、家の環境(Windowws2008 1台 + W#indowsXP1台)で実演出来るものでしょうか?

  • Active Directoryのグループポリシーについて質問です。

    Active Directoryのグループポリシーについて質問です。 環境は、Windows 2008 R2です。 グループポリシーでは、「コンピューターの構成」と「ユーザーの構成」を 一つのポリシーに含められます。 上記の両方共を設定したグループポリシーを、 ユーザーのみを配下に持つ(コンピューターは配下にない)OUにリンクした場合、 「コンピューターの構成」は、使われない事になるのでしょうか?

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する