- ベストアンサー
Active Directoryについて質問です。
Active Directoryだと、ログインIDが使用できるPC特定できる(たとえばAさんのパソコンはAさんのIDでしかログインできない)と聞きました。 ドメインコントローラはドメイン参加しているネットワークならどのパソコンからもIDでログインできると思うのですが、 ADはどうやってパソコンとIDを関連づけているのでしょうか? Active DirectoryはどうやってAさんのパソコンをそうでないパソコンを識別するのでしょうか? IPですか?? どなたか詳しい方教えください。
- akaimogura
- お礼率27% (3/11)
- ネットワーク
- 回答数3
- ありがとう数2
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
> ADはどうやってパソコンとIDを関連づけているのでしょうか? 参考URLの様な設定を、ユーザ登録時にすると設定できます。 > Active DirectoryはどうやってAさんのパソコンをそうでないパソコンを識別するのでしょうか? 見てわかるとおり、コンピュータ名です(正確に言えばSIDという32bitのID番号ですが、ユーザからは見えません)。 ドメインを使用するときはコンピュータもドメインに登録するので、ADでログインしてきたユーザ名とその時のコンピュータ名を識別することが可能です。
その他の回答 (2)
- jjon-com
- ベストアンサー率61% (1599/2592)
ANo.2で説明されているとおりです。 (1) コンピュータ mogura をドメインに参加させる (2) コンピュータ mogura をドメインから外す(Workgroup状態) (3) コンピュータ mogura をドメインに再び参加させる (1) ユーザ akai をドメインに登録する (2) ユーザ akai をドメインから削除する (3) ユーザ akai をドメインに再び登録する 上記いずれも(1)の段階で,コンピュータ名に対する一意のSID,ユーザ名に対する一意のSIDが割り当てられます。ドメインからの削除をおこなった後,(3)同コンピュータ名・同ユーザ名でドメインに再登録したとしても別SIDが割り当てられます。
- Toshi0230
- ベストアンサー率51% (836/1635)
> PCのコンピュータ名を偽装してNWく接続すれば 先の回答で、「正確に言えばSIDという32bitのID番号ですが」と書きました。このSIDは、PCがドメインに参加した時点で割り当てられますので、同じコンピュータ名でもドメイン外のPCと混同することはありません。 ただ、ユーザのIDとパスワードが漏れているのであれば、きわめて高い確率で外部からのアクセスを許してしまうでしょう。 # このあたり、検証したわけではないので間違えていたらごめんなさい
関連するQ&A
- Win8 PCのドメイン参加状況を確認するには
Windows8.1ラップトップが数台あるのですが、ドメイン参加時にDNS関連のエラーが出ました。インターネット上の情報を見ると、特に気にしなくてもよさそうだったのでそのままにしておいたのですが、どうやらログイン時にドメインに参加していないようです。 というのも、マップドライブをクリックすると認証情報の入力を求められます。ですので、ユーザーは毎朝これを入力しているようでした。実際にドメインにログインしているならば、そのようなことは無いはずです。 当然、ドメインコントローラ上にコンピュータアカウントは登録済ですが、実際にADにアクセスできなくてもPCにはドメインアカウントでログインできてしまうので、問題の切り分けをどうしてよいのやら。 プライマリドメインコントローラは2008ですが、ドメインは2003モードで動いています。 これらのWin8.1PCが実際にドメインコントローラと通信し、ログインしているのかどうかの確認方法と、していなかった場合の解決策を教えてください。 この先、Windows2012R2にドメインコントローラを移行させる予定ですが、このPCをドメイン参加させるときにも同じDNS関連エラーが出ました。ドメインコントローラに昇格させるのが不安です… どうぞよろしくお願い致します。
- 締切済み
- Windows系OS
- Active directoryユーザ権限
Active directoryのローカルコンピューターの権限について Windows2008R2でADを構築し以下の様にユーザーを作成し、ドメインにクライアントPCでログインしたのですが、 クライアントPCでソフトウゥアのインストールができません。インストール等の権限がないようです。 設定した項目(設定値) ■Server側の設定 Active directoryのコンピューターとユーザーのUsersコンテナに「山田太郎」というユーザーを作成。 以下入力値 姓:山田 名:太郎 表示名:山田 太郎 ユーザーログオン名:yamada@test.local パスワード:A123456% 所属するグループ:Domain Users(デフォルト) ■クライアントPC側設定(windows7) コンピューター名:YAMADA-PC ドメイン名:test.local ※クライアントPC上では、コントロールパネルや、[コンピューター]-[管理]から山田太郎というアカウントは 作成していません。ただ、デフォルトのコンピューター名を変更し、Admin権限で、コンピュータを ドメインに参加させただけです。 ドメインに参加できたことを確認し、(ADServerのComputersコンテナにYAMADA-PCが出現)一旦ログオフし Server上で作成した山田太郎でログイン。 ログインすると、クライアントPCのWindowsのスタートボタンを押すと「山田 太郎」と表示されている。 そして、Officeをインストールしようとすると、権限がありませんというようなメッセージが表示され、 インストールできません。 やはり、この場合は、クライアントPC側で、Admin権限で山田太郎というアカウントと作成し、山田太郎 というローカルのユーザに対しても、ローカルPC上でAdmin権限を設定するのでしょうか? サーバー上では、ローカルPCのユーザにローカルPCのadmin権限を与えることはできないのでしょうか?
- ベストアンサー
- その他(ITシステム運用・管理)
- Active Directoryの環境導入について
現在、社内にActive Directoryの構築を進めています。 本番環境(社内ネットワーク)に、いきなりAD構築するのが不安だったため、 テスト環境(隔離されたローカルネットワーク)にAD構築をしてみました。 テスト環境で問題なく動作することが確認でき、社内ネットワークでの動作確認をしたい為、 テスト環境でAD構築したドメインコントローラーを繋いでみようと思います。 ただし、社内ネットワークは、現在ワークグループで構築されており、 ドメインコントローラーの導入は今回が初めてになります。 その為、ドメインコントローラーを突然社内ネットワークに繋いだことによる、 社内へ何かしらの影響が起こらないか懸念しております。 テスト環境でAD構築したドメインコントローラーを、社内ネットワークに繋いだ際、 社内ネットワークの各クライアントに起こりえる不具合や影響は何かあるでしょうか?
- ベストアンサー
- その他(ITシステム運用・管理)
- apacheをWindows認証にしたい
Windows Active Directory環境にまだドメイン参加していないLinuxのマシンが一台あります。そのLinuxでapacheが動いています。 そのapacheの特定のフォルダを(現在はBasic認証を使用中)ADのユーザー認証を同じように したいのです。 つまりAさんとBさんというユーザーがいてaaa.comというドメイン環境にログインしている中 現在はAさんには見せたいけどBさんには見せたくないフォルダがあるとします。 それをBasic認証でAさんにID/PASSを発行してセキュリティを保っています。 しかしユーザー数が増えたのでできればAさんだったらAAA/passwardというID/PASSを使い apacheにも認証を掛けたいのです。 これは可能でしょうか?可能であれば一番シンプルなやり方を教えていただけませんか? お願いします。 Linuxの環境はRedHat or Debian , apache2 , を使っています。 よろしくお願いいたします。
- 締切済み
- Linux系OS
- Active Directoryでのユーザ制限について
Active Directoryでのネットワーク毎のユーザ制限について教えてください。 ネットワーク環境は以下の2つ有り、 A:172.1.0.0/16、B:172.2.0.0/16 AネットワークではユーザAがログインでき、 BのネットワークではユーザAがログインできない環境を作りたいのですがグループポリシーでの制限は可能でしょうか? ・Active Directoryは2000と2003の混合モードです。 ・各ネットワークにADサーバが1台有ります。 ・FSMO用に別サーバが1台有ります。 ・各ネットワークにはPCが約1000台ぐらいあります。 ※そのためPCの設定変更が難しいです。 以上
- 締切済み
- その他(ITシステム運用・管理)
- Active Directoryを導入したらASP.NETが動かなくなりました
タイトルの通りなのですが、それまで通常のユーザが 使えていた環境をADのドメインコントローラにした とたんに、ASP.NETのデバッグができなくなりました。 権限関連の問題かもしれませんが、情報をお知りの方 助けてください。
- ベストアンサー
- Microsoft ASP
- Active DirectoryについてHELP!!
Mac...OS10.4.4 (クライアント) ドメインServer... Windows 2003 この時点で「Mac?分からないや。」と思わず最後まで読んで下さい! 全部書くと長くなりますので、端的に言います。 不足分は、補足にて補います。 MacをActive Directoryに参加させました。 方法...下記URLの「Active Directory」にチェックを入れて「バインド」。 http://en.wikipedia.org/wiki/Image:DirectoryAccessScreenshot.png そしてあるユーザー。 例えばTanakaでログインするとログオン成功。 そして、パスワード有効期限が近づいたユーザーでログインすると、ログイン時にちゃんと 「パスワード有効期限が近づいています。」 と表示されます。 「成功!!」それが2ヶ月前の事。 ところが、今日になって、パスワードの有効期限が近づいているユーザー(複数)でログインを試みました。 ところが、「有効期限が近づいています。」の警告が出ません。 Windowsでそのユーザーでログインすると、ちゃんと警告が出ます。 この2ヶ月間、Macは何もアップデートしていません。 なぜでしょうか?
- 締切済み
- その他([技術者向] コンピューター)
- Active Directoryを開くと、「名前付け情報を検索できません。」と表示される。
ドメインに参加させようと、クライアントのパソコンで、システムのコンピュータ名のネットワークIDで、ウィザードを使って進め、認証で、administratorで認証をしていたら、サーバ機のActive Directoryが、「名前付け情報を検索できません。」となり、クライアント機のC:\Documents and Settings\Administratorに、netuser.datが作成されていました。 サーバ機のDOSの画面で、net shareを打ったところ、IPC$には、ディレクトリが表示されてませんでした。また、TCP/IPのDNSの「この機械のアドレスをDNSサフィックス」はpcroom.localとあり、この接続のアドレスをDNSに登録するにはチェックが入っています。
- 締切済み
- ハードウェア・サーバー
- ネットワークが繋がりません
ネットワークが繋がりません Win2003Server(ActiveDirectory)とクライアントにXPを使用しています。 ドメインを使用し、サーバ/クライアント側とも静的なグローバルIPを振っています。 今まで、有線のLANケーブル接続でした。 無線のワィアレスLANに変えて、有線のLANと同じ設定にしたところ、繋がりません。 (ネットワークIDウィザードを使ってドメインに参加・・ →ドメイン**のドメインコントローラと通信できません) ちなみに クライアントはSSIDを使用しています。 pingでサーバのIPアドレスを打つとRequest time outになります。 クライアント側ではセキュリティソフトは使っていません。 ADで同じPCのuserアカウントを一度削除して再度同じものを登録しています。
- ベストアンサー
- ネットワーク
- Active Directoryコネクターのインストールに失敗する
もともとNT4.0で構成されていた社内LANをActive Directoryで構成し直しました。ところが、このアップグレードした社内LAN(ドメインA。ドメインコントローラはWindows Server 2003R2、NT4.0混在)のユーザーが、NT4.0で構成されたドメインBにあるExchange Server 5.5にアクセスできなくなり、メールが使えなくなってしまいました。 もともとドメインAとドメインBは信頼関係を結んでいます。 そこで調べてみたところ、Active DirectoryコネクターをインストールすればExchange Server5.5のディレクトリをActive Directoryで読めるようになる、ということだったので、早速やってみました。 具体的には、ドメインAのドメインコントローラ(Windows Server 2003R2)にActive Directoryコネクターをインストールしました。 ところが、これで解決かと思いきや今度は次のメッセージが表示されてインストールできませんでした。 「内部コンポーネントが失敗しました。ID番号:c103798a Microsoft Active Directory Connectorセットアップ」 ID番号まで出ているので、マイクロソフトのサイトでも色々と検索して調べてみたのですが結局理由がよく判りません。怪しそうな原因としては、Active Directoryコネクターをインストールするための条件に、 「Exchange Server 5.5 SP3以上がインストールされたExchangeサイトに少なくとも一つ以上のサーバーがあることが必要です。」 と書かれていたのですが、ここで言っている「サーバー」が何を指すのかが不明です。もしかしてこの「サーバー」というのが「Active Directory内のサーバー」という意味であれば、ドメインBもActive Directoryになっていなければならない、ということになるので、これはもうドメインBをActive Directoryにアップグレードするしかない、ということになります。 そういうことなのでしょうか? ただこれもあくまで推測なので判りません。 このままメールが止まってしまうと業務上も致命的なので、時間的な猶予も考えると最小限の変更でまずは現状の状況から稼働できるようにしたいと思っています。ドメインBをNT4.0構成のまま、そしてドメインBにあるExchange Serverは5.5のまま、何とかドメインAのユーザー達が接続できるようにしたいのですが・・・。。 大変困っています。どなたか教えていただけないでしょうか。 よろしくお願い致します。
- 締切済み
- Windows系OS
お礼
回答ありがとうございます。 非常にわかりやすく、不明点がだいぶ解決しました。助かりました。 もう一つわからない事がでてきてしまったのですが、ドメイン参加してるPCかどうかをコンピュータ名で識別してるのであれば、悪意をもった人間がドメイン参加していないPCのコンピュータ名を偽装してNWく接続すれば、IDとPASSが分かっていれば、ドメインにつながてしまうという事でよろしいのでしょうか? もし、お手数でなく、お分かりになるようでしたらよろしくお願いいたします。