ドメイン間のパスワード変更について
- ドメインAとドメインBの間でのパスワード変更について解決法を探る
- ドメインAとドメインBの信頼関係に基づくファイルサーバーへのアクセスにおけるパスワード変更の問題を解決する方法
- ドメインAとドメインBのファイルサーバーへのアクセスにおいて、パスワード変更ができない問題の解決策を考える
- ベストアンサー
ドメイン間におけるパスワードの変更
現在、ドメインAとドメインBがあります。 それぞれのドメインコントローラは、ファイルサーバーも兼ねています。 ドメイン間の信頼関係としては、片方だけの信頼で、ドメインAがドメインBを信頼しているだけです。 ドメインBに参加してる人は、ドメインAのファイルサーバーをアクセスします。 ドメインAの特定者は、ドメインBのファイルサーバーにアクセスします。その際に、ドメインBのアカウント・パスワードを使ってログインしています。 通常、パスワードは定期的に変更した方がよいと言われています。 今、問題になっているのは、ドメインAの人がドメインBのアカウントの パスワードを自分のPCにて変更できない事に困っています。 現状は、ドメインA・Bのドメインポリシーは、90日経つとパスワード変更するような設定にしていますが、変更を促すメッセージがでないため、90日経つと自動的にアカウントが使用できなくなります。 解決方法としては、ドメインBのファイルサーバーにアクセスする人は、ドメインBに参加させるべきでしょうか? それとも、何か別の方法で解決できますでしょうか? 経験のある方は、ご返答よろしくお願いします。 <環境> ドメインサーバーA:Windows 2000 Server ドメインサーバーB:Windows 2003 Server
- kenpati7jp
- お礼率42% (11/26)
- その他(ITシステム運用・管理)
- 回答数1
- ありがとう数1
- みんなの回答 (1)
- 専門家の回答
質問者が選んだベストアンサー
ぱっと考えつく方法として、 ・ドメインBにアクセスするドメインAのユーザをドメインBに移す (質問者さんがあげた方法) ・ドメインAとBを双方向の信頼関係を結び、ドメインAの特定ユーザのみドメインBのリソースにアクセスできるよう、アクセス権設定を行う の2点でしょうか。
関連するQ&A
- AD環境のアカウントのパスワード有効期限の設定はBuiltinのドメインAdministratorにも適用されるのでしょうか?
ADサーバ環境でドメインが構築されています。 ADサーバ:Windows 2003 server ドメイン参加サーバ:Windows 2003 server x5台 クライアントPC:XP Pro x100台 ドメイン名(仮名):ABC.local ・ADのアカウントをクライアントPCユーザ用に100アカウント作成されています。 ・ドメイン参加サーバ5台にはすべて、BuiltinのドメインAdministratorアカウントでログインしています。 ・ABC.localドメイン全体のセキュリティポリシーとして、Default Domain Policyを以下のように編集します。 -パスワードの有効期限=30日 この環境の場合、パスワードの有効期限が適用されるのはクライアントPC用ユーザの100アカウントだけでなく、BuiltinのドメインAdministratorアカウントにも適用されてしまうのでしょうか? クライアント用ユーザ100アカウントのパスワードだけ、変更要求を出したいと思っています。 ドメインAdministratorのパスワードまで変更しなくてもすむような設定、回避方法はありますでしょうか? 教えていただけますと大変助かります。
- ベストアンサー
- その他(ITシステム運用・管理)
- ドメインのAdministratorパスワード変更後、旧パスワードの有効期限について
デフォルトで用意されているドメインのadministratorのパスワードを変更いたしました。 <ドメインコントローラサーバ> -Windows2000 -シングル構成 パスワード変更直後から、当ドメインに参加しているPCでadministratorアカウントでログインする時は新パスワードしか受け付けないと思っていましたが、旧パスワードでもログインできてしまいます。 おそらく旧パスワードに猶予期間が設けられているのかと思うのですが、その期間を調べる方法はありますでしょうか? 初心者で大変申し訳ありませんが、教えていただけると助かります。
- ベストアンサー
- その他(ITシステム運用・管理)
- ドメインに入っているかローカルかの違いとは
ドメインアカウントを持っている人がローカルで作業してました。ファイルサーバーへは最初パスワードを聞かれたもの、あとはアクセス権が振られたファイルにアクセスできます。ドメインに参加してるかしてないかの違いを上手く説明する方法教えてください
- ベストアンサー
- ハードウェア・サーバー
- Exchangeサーバのドメインパスワード変更
現在、Exchange Server 2010(w2k8r2)を社内で運用しております。 ドメインに参加しておりドメインのadministratorでインストールしました。 今回ドメインのadministratorのパスワードを変更する必要があるのですが、 変更することによってExchange Server 2010が動作しなくなるのではと懸念 しております。 調べた限りではサービスアカウントのパスワード変更など必要なのかなと 思っているのですが、何か必要な作業はありますでしょうか? ご教授よろしくお願い致します。
- ベストアンサー
- その他([技術者向] コンピューター)
- NTドメインでPDCを変更した際、2003ドメインとの信頼関係は無くなりますか?
おはようございます。 いつも大変勉強させていただいています。 今回も、どうかよろしくお願い致します。 ドメインA(NTドメイン BDCが3つあります) ドメインB(2003ドメイン) 現在、上記2つのドメインが互いに信頼関係を結んでおり、全ユーザーはドメインBにログオンし、ドメインAにあるファイルサーバを見に行っています。 今回、この2つのドメイン構成はそのままで、ドメインAのPDCの撤去を行う事になりました。 そこで、サイトやこのページで調べて以下の手順で作業を行おうかと思ったのですが、疑問点が出てしまい、質問させていただいております。 手順 1、PDCを停止させる。 2、3つあるBDCの中の1つをPDCに昇格させる。 昇格するBDCは昇格時に接続できなくなりますが、まだBDCが2つ残っているので、作業期間中、ユーザーは常にドメインAのファイルサーバに問題無くアクセスできるだろうと考えていました。 ところがここで疑問が出てきました。 現状、全ユーザーがドメインAではなくドメインBにログオンし、ドメインAのファイルサーバにアクセスしています。 ドメインAのPDCを変更してしまうと、ドメインA←→Bの信頼関係が無くなってしまうのではないか? と思ったわけです。 そうなると、手順2の後に、 3、新たなPDCとドメインBとで信頼関係を結びなおす。 この作業が必要となり、手順2完了直後から手順3完了までの間、全ユーザーがドメインAのファイルサーバにアクセスできないのでは?? という風に考えております。 PDCを変更しても、2003ドメインとの信頼関係は無くならないでしょうか? どうかよろしくお願い致しますm(__)m
- ベストアンサー
- ハードウェア・サーバー
- ドメインとワークグループのユーザーアカウント、パスワードの同期について
社内にWindows2000ServerSP4でドメインを作成。配下にクライアントPC(Windows2000Pro)が100台ほどあり、社内LANを形成しています。 一方、個別の部署では、独自に古くからファイルサーバ(Windows2000ServerSP4:PC名『soumu』)があり、ドメインには参加せず、ワークグループ(ローカル)で運用しています。 この『soumu』サーバのユーザーIDはドメインのIDとは別に作成しています(といっても実際には同じIDに統一はしています)が、初期パスワードはドメインIDと同じに設定していました。 このような状況下で、初期パスワードのままであれば、ドメインIDと『soumu』サーバのIDのパスワードが同じなので問題はありませんでした。 しかし、セキュリティの関係で、ドメインIDのパスワードを2週間に一度変更することになり、『soumu』サーバーにアクセスする際ユーザー名とパスワードの入力が求められるようになりました。 一度入力して『soumu』サーバーにアクセスしてしまえば、以降ログオフ(もしくは再起動)しない限り、入力を求められることはありませんが、毎日起動たびに入力しなければならず手間がかかっています。 しかも、ドメインIDのパスワードはクライアントPCで変更ができるのに、『soumu』サーバのIDについてはいちいちユーザーにそのサーバのところまで来てもらい「コンピュータの管理」を起動してその場で変更してもらっています。 ただ、この『soumu』サーバをドメインに参加させることがどうしてもできない事情があります。 そこで、『soumu』サーバをワークグループのままで、ドメインアカウントのパスワードと同期をとる、ドメインID同様クライアントPC上で変更できるような何か良い方法はないでしょうか。 (『soumu』サーバーをドメインに参加させれば良い話なことはわかっているのですが・・・・) 長くわかりにくい説明ですが、どうかよろしくお願いいたします。
- ベストアンサー
- Windows系OS
- ドメインコントローラのアカウントポリシーのパスワードの複雑さ要件のレベルを下げることができるか?
ドメインコントローラサーバ(以下DC):Win2003 server クライアントPC:Win XP DC上のアカウントポリシーでドメインに参加しているユーザーに定期的にパスワードを変更させる設定をしたいと思っています。 「管理ツール」→「ドメインセキュリティポリシー」→「セキュリティの設定」→「アカウントのポリシー」→「パスワードのポリシー」で、 ”パスワードは、複雑さの要件を満たす必要がある”項目があります。 複雑さ要件の説明を見ると、英大文字、英小文字、数字、アルファベットを混ぜなければいけないや、アカウント名で使っている文字のうち3文字以上同じ文字は使えないなど、私がやりたいことよりかなり複雑さのレベルが高く感じています。 多少は複雑にしたいが、↑ほど複雑にしたくはない場合、複雑さの要件のレベルを下げる(設定変更)することは可能なのでしょうか? 申し訳ありませんが、どなたか教えていただけると助かります。
- ベストアンサー
- その他(ITシステム運用・管理)
- ドメインのアカウント情報消去について
ドメインに参加するときに、アカウントとパスワードを入力し、 「パスワードを記憶する」にチェックを入れてしまいました。 同じ端末から同一ドメインに別のアカウントで参加したいのですが、 ドメインサーバのフォルダにアクセスする際にアカウントとパスワード の入力画面が出ず、最初にログインしたアカウントでドメインサーバに アクセスしてしまいます。 このアカウント情報を端末から削除する方法を教えてください。
- 締切済み
- Windows系OS
- ポリシーを変更したらファイルサーバにアクセスできない
サーバWindows2003のドメイン環境(モードはwin2000混在モード) クライアントはWinXP pro sp2です。 ------------ テラステーションというネットワークストレージに アクセス制限をかけるため、ドメインポリシーを変更しました。 http://buffalo.jp/php/lqa.php?id=BUF12350 が、このポリシー変更をかけた後 クライアントからファイルサーバーにアクセスできなくなって しまいました。ファイルサーバにアクセスすると ユーザ名/パスワードを求められ、正しいものを入力しても 認証されません。 なのでポリシーを元に戻し、サーバ&クライアントも再起動しました。 それなのに現象は変わりません。 なので、一度クライアントをドメインから削除しワークグループにし、 DCからもコンピューター名を削除し、再びドメインに参加させました。 が、”アクセスが拒否されました”といってドメインにも参加できません。 確認した内容は net viewで正しくDCを見れるし、DC上でnet shareをすると sysvolなどは正常に見えます。 pingでdcの名前も解決できます。dnsでのエラーはありません。 ファイルサーバにクライアントがアクセスできないとなると 業務に影響が出るため、明日の朝までには解決したいです。 よろしくお願いします。
- ベストアンサー
- Windows系OS
- ドメインに参加している全クライアントPCのローカルポリシー>セキュリティオプションを一括で変更したい
以下の環境で、ADドメインを構築しています。 サーバ:Windows server 2003 クライアント:Win XP Pro ドメイン名:ABC.local ADアカウント:テスト環境用にtest1とtest2を作成 「セキュリティの設定」→「ローカルポリシー」→「セキュリティオプション」の設定を当ドメインに参加するクライアントPCに対して一括で設定することはできないのでしょうか? セキュリティ対策の一環として、以下のような設定を考えています。 1.パスワードの有効期限:30日 2.パスワードの最低文字数:5文字以上 3.アカウントロック失敗回数:3回 4.パスワード有効期限の何日前に変更を促すか:10日 1~3に関しては、ドメインコントローラサーバ上でグループポリシーオブジェクトを開き、「セキュリティの設定」→「アカウントポリシー」→「パスワードの設定」と「アカウントロックアウトの設定」で設定が可能で、クライアントPCが当ドメインにログインする際に確認される項目のため、全クライアントPCに対して設定しなくてもドメインコントローラ上の設定だけで大丈夫です。 ただし、4に関しては各クライアントPCで「セキュリティの設定」→「ローカルポリシー」→「セキュリティオプション」の設定を変更すれば大丈夫ですが、ドメインコントローラ上で同じ設定をしても各クライアントPCには適用されません。(←ドメインコントローラマシンに対してのみのローカル設定という意味だと思うので当然だとは思いますが) どなたか、ドメインに参加するクライアントPCに一括で「ローカルポリシー」→「セキュリティオプション」を設定する方法をご存知でしたら教えてください。
- 締切済み
- その他(ITシステム運用・管理)
お礼
返事が遅くなり、申し訳ありません。 貴重な意見ありがとうございました。 やはり、ドメインを写す方法しかなさそうですね。 その方向で進めたいと思います。