ドメイン離脱時のセキュリティポリシー初期化方法は?
- ドメインから離脱する際のセキュリティポリシーの初期化方法を教えてください。
- WindowsXP-SP3でドメインから離脱する際、セキュリティポリシーの初期化方法を教えてください。
- ドメインユーザの権限ではセキュリティポリシーを変更できず、ローカルユーザでも同様です。強制的にセキュリティポリシーを変更する方法を教えてください。
- ベストアンサー
ドメイン離脱時のセキュリティポリシー初期化方法は?
ご存じの方いらっしゃいましたらご教授ください。 当方環境は,WindowsXP-SP3です。 通常作業では,WORKGROUPに参加して作業し,必要に応じてドメインに 参加しております。 ローカルユーザは,administrator権限になっています。 ドメインユーザは,一般のユーザです。 ドメインユーザの権限では,セキュリティポリシーの各項目を変更出来ないため ローカルユーザ(administrator権限)でログインしても,ドメインユーザ時同様に セキュリティポリシーの各項目を変更出来ないことは,理解いたしました。 【ご質問】 ローカルユーザ(administrator権限)でログインして,強制的に 「セキュリティポリシーの各項目変更」,もしくは, 「ドメイン参加により設定されたセキュリティポリシーの消去」は 可能でしょうか? 方法あればお教えください。 #現在,当該ドメインへの接続は出来ない環境におります。 #また,出来ればWindowsの再インストールは避けたいと考えています。 よろしくお願いします。
- CENTOS2011
- お礼率100% (2/2)
- Windows系OS
- 回答数1
- ありがとう数3
- みんなの回答 (1)
- 専門家の回答
質問者が選んだベストアンサー
申し訳ありませんが、質問の内容がちょっとわかりにくため、的がはずれているかもしれません。 >ローカルユーザ(administrator権限)でログインして,強制的に >「セキュリティポリシーの各項目変更」,もしくは, >「ドメイン参加により設定されたセキュリティポリシーの消去」は >可能でしょうか? 方法あればお教えください。 コンピュータがドメインに参加している状態(システムプロパティの所属するグループがドメインになっている)では、GPOにて設定されている項目はコンピュータ側にどのような権限があっても変更することは出来ません。 コンピュータがドメインから離反し、ワークグループにした場合はドメインの時設定していたGPOは全て無くなり、ドメインに参加する前の状態(意図的にローカルグループポリシー自体を変更していない場合)に戻るはずです。 コンピュータがドメインに参加している状態(ドメインコントローラとの接続が維持されているかは不問)ならば不可能ですという回答になると思います。 >#現在,当該ドメインへの接続は出来ない環境におります。 ドメインコントローラと接続出来ないという認識でいいでしょうか。 余談になりますが、ドメインからの離反はDCとの通信が出来なくても可能です。
関連するQ&A
- ドメインセキュリティポリシーでソフトウェアの制限のポリシー
ドメインセキュリティポリシーでソフトウェアの制限のポリシーをかけ、 動作は問題なかったのですが、 制限の範囲は、 ドメインのAdministratorも含まれるのでしょうか。 またドメインに参加しているPCをローカルでAdministratorでログインした場合も含まれるのでしょうか。 試してみたら制限されていました。 やりたいことは制限をかけるのですが、 対象外のアカウントも必要にしたいのです。 たとえば、Administratorアカウントとか。 可能でしょうか。 よろしくお願いします。
- ベストアンサー
- その他(ITシステム運用・管理)
- ローカル セキュリティ ポリシー
こんばんは。 Windows2003環境でアクティブ・ディレクトリの調査を しています。 WidnowsXPや非ドメインのサーバなどには、 「ローカル セキュリティ ポリシー」というツールがあり、 自サーバにログインするユーザに制限や権限付与が可能かと思います。 ふと思ったのですが、 ドメインコントローラ自身に対する、 「ローカル セキュリティ ポリシー」は存在するのでしょうか。 「ドメイン セキュリティ ポリシー」は、ドメイン参加の 全てのメンバサーバに設定が反映されますよね。 ではなく、ドメインコントローラだけに適用されるポリシーを 設定したいのです。 実機を探しているのですが、 「ローカル セキュリティ ポリシー」が見当たらず・・ 実際に設定は可能なのでしょうか?。 アドバイスを頂ければ助かります。
- 締切済み
- Windows系OS
- セキュリティポリシー(ドメイン・ローカル)
セキュリティポリシーについて教えて下さい。 ActiveDirectoryをインストールすると、ローカルセキュリティポリシーの代わりにドメインコントローラセキュリティポリシーが現れますが、これは、=ローカルセキュリティポリシーと考えてよいのでしょうか?また、domainへログオンした状態のクライアントでは、ローカルセキュリティポリシーに優先しドメインセキュリティポリシーが適用されるのでしょうか? それともローカルセキュリティポリシーは全く関係なくなるのでしょうか?また、このコンピュータ(ローカル)にログオンした場合はローカルセキュリティポリシーとドメインセキュリティポリシーの関係はどう適用されるのでしょうか?質問だらけで申し訳ありません。詳しい方がいらっしゃいましたら、ご教授ください。もしくは参考になるサイトを提示いただければ 自分で確認しますので、よろしくお願いいたします。
- ベストアンサー
- その他(ITシステム運用・管理)
- ローカルセキュリティポリシーの設定変更が出来ません
ドメインに参加しているWindows2003ServerのPC上で、ローカルセキュリティポリシーを設定したいのですが、ボタンがグレーアウトされていて触ることが出来ずに困っております。 <手順> 「管理ツール」から「ローカルセキュリティポリシー」を開き、 ツリービューの「セキュリティの設定」-「ローカルポリシー」-「ユーザー権利の割り当て」まで展開し、どれかポリシーを開く。 <現象> ポリシーのプロパティウィンドウが表示されるが、「ユーザーまたはグループの追加」ボタンと「削除」ボタンがグレーアウトされてしまい、実質操作不可。 ローカルにAdministratorでログオンしても現象は変わりません。 ドメインコントローラ側のグループポリシーか何かで制御をしてしまっているのだろうかと疑っておりますが、そのような制御が果たして出来るのか、恥ずかしながら分かっておりません。 対処方法をご存知の方がいらっしゃいましたら、ご教授いただけないでしょうか。
- ベストアンサー
- その他(ITシステム運用・管理)
- ローカルセキュリティポリシーについて!
「管理ツール」-「ローカルセキュリティポリシー」で「ローカルポリシー」-「ユーザ権利割り当て」で「オペレーティングシステムの一部としての機能」でAdministratorに権限を与えたのですが、「有効なポリシーの設定」のチェックボックスにチェックが入らないため、あるソフトウェアの設定で困っています。 チェックボックスを有効にする方法を知っている方がいたら教えて下さい。 OSはWindows 2000 Advanced Serverです。
- ベストアンサー
- Windows NT・2000
- ドメインに参加している全クライアントPCのローカルポリシー>セキュリティオプションを一括で変更したい
以下の環境で、ADドメインを構築しています。 サーバ:Windows server 2003 クライアント:Win XP Pro ドメイン名:ABC.local ADアカウント:テスト環境用にtest1とtest2を作成 「セキュリティの設定」→「ローカルポリシー」→「セキュリティオプション」の設定を当ドメインに参加するクライアントPCに対して一括で設定することはできないのでしょうか? セキュリティ対策の一環として、以下のような設定を考えています。 1.パスワードの有効期限:30日 2.パスワードの最低文字数:5文字以上 3.アカウントロック失敗回数:3回 4.パスワード有効期限の何日前に変更を促すか:10日 1~3に関しては、ドメインコントローラサーバ上でグループポリシーオブジェクトを開き、「セキュリティの設定」→「アカウントポリシー」→「パスワードの設定」と「アカウントロックアウトの設定」で設定が可能で、クライアントPCが当ドメインにログインする際に確認される項目のため、全クライアントPCに対して設定しなくてもドメインコントローラ上の設定だけで大丈夫です。 ただし、4に関しては各クライアントPCで「セキュリティの設定」→「ローカルポリシー」→「セキュリティオプション」の設定を変更すれば大丈夫ですが、ドメインコントローラ上で同じ設定をしても各クライアントPCには適用されません。(←ドメインコントローラマシンに対してのみのローカル設定という意味だと思うので当然だとは思いますが) どなたか、ドメインに参加するクライアントPCに一括で「ローカルポリシー」→「セキュリティオプション」を設定する方法をご存知でしたら教えてください。
- 締切済み
- その他(ITシステム運用・管理)
- Windows7のアカウント管理
Windows7のアカウントの管理方法について質問があります。 環境 OS:Windows7 Professional 32bit ドメインサーバに参加 アカウントの種類 1:ローカルのAdministrator(通常は無効) 2:ローカルの標準ユーザー(管理者権限なし) 3:ローカルの管理者ユーザー(管理者権限あり) 4:ドメインサーバ上のアカウント ※私はドメインサーバの設定を変更する権限はありません。 1~4のアカウントそれぞれに詳細な設定をするため、グループポリシーの設定をしようと思っています。 「2」と「1、3」は必要な設定項目が違い、同じローカルグループポリシーでは設定ができないため、 複数のグループポリシーで設定を使用と思っております。 また、「4」は複数のユーザーが使用する可能性があるため、Administratorのプロファイルを Defaultユーザーのプロファイルにコピーしようと思います。 Windows7では複数のローカルグループポリシーの設定ができるようです。 「1、3」の管理者用(Administrators)のグループポリシー 「2」用の非管理者用のグループポリシー と設定して管理したいと思います。 複数のグループポリシーの設定方法(呼び出し方)は下記サイトで理解できました。 http://technet.microsoft.com/ja-jp/library/cc731758.aspx グループポリシーを各ユーザーに適用させるためには、どうすればいいのでしょうか? アカウントのユーザー権限の種類と、ローカルグループポリシーの種類とリンクしているのでしょうか? 例 管理者権限のユーザーにはAdministratorsのグループポリシーが適用、 制限ユーザーには非管理者のグループポリシーが適用されるとか。 グループポリシーの管理や、ドメイン環境の管理が初めてなので、 教えていただきたいと思います。 ここは見ておけ!のサイトとか、 これは読んでおけ!の書籍なんかも教えて頂けると助かります。
- ベストアンサー
- その他(ITシステム運用・管理)
- WinServer2008管理者ユーザの追加方法
環境:Windows server 2008 x64 sp1(ADドメインで運用) 当社のポリシーでセキュリティの観点から、 アカウント名が知られているドメイン・ローカルの管理者ユーザ「Administrator」を無効にして、 同等の権限を持つユーザ「Kanrisya」(仮)を作り、運用に関してはこちらのアカウントを使用することになりました。 要はAdministratorと全く同じユーザとして使いたいわけでして、administraotrと全く同じグループに所属させているにもかかわらず、管理者権限を必要とする操作に対してadministratorでは表示されないUACユーザアカウント制御の画面が表示されます。 これを回避するにはどうしたよろしいでしょうか? (Administratorは一応残したいのでポリシーにより管理者ユーザの名前変更はしない方向です。)
- ベストアンサー
- ハードウェア・サーバー
- windows2003でのドメインのパスワードセキュリティポリシーについて
windows2003でドメインサーバーを構築しました。 管理ツールの「Active Drectory ユーザーとコンピュータ」で ユーザを追加しようとしたところ、パスワードがセキュリティポリシー の要件を満たせないとのことでエラーとなりました。 私が入力したパスワードが単純すぎたようです。 そこで「既定のドメインコントローラセキュリティの設定」で アカウントポリシー>パスワードのポリシー、にて全ての ポリシーを未定義にしました。 これでパスワードがブランクにすることも可能になるはずです。 しかし相変わらずユーザーの追加時に複雑なパスワードを求められます。 OSを再起動しましたが、状況は変わりませんでした。 これはOSの不具合なのでしょうか。 それとも別のセキュリティポリシーを設定する必要があるのでしょうか?
- 締切済み
- Windows系OS
- ローカル セキュリティ ポリシー
ローカル セキュリティ ポリシーを変更しようと 管理ツールを見たら、なにも入っていなく、 もう一つのマシンは管理ツールからは ローカル セキュリティ ポリシー の選択ができなくなっていました。 (その項目が消えていた) 管理ツールになにも入っていないマシンも、 また管理ツールにいくつかの選択が残されている が、ローカル セキュリティ ポリシーがなくなって しまったマシンもともにウイスルバスターを入れて いたマシンです。 今は、バスターはアンインストールしましたが 管理ツールになにも現れません。 どうしたら元のように回復するのでしょう?? お願いします。
- 締切済み
- Windows系OS
お礼
ご回答ありがとうございます。 分かりにくい説明で申し訳ありませんでした。 >コンピュータがドメインに参加している状態(システムプロパティの所属するグループがドメインになっている)では、GPOにて設定されている項目はコンピュータ側にどのような権限があっても変更することは出来ません。 私自身,上記の理解が出来ておりませんでした。 ログイン画面にて,ログオン先を「このコンピュータ」に選択しているのだから ドメインは関係無いと誤解しておりました。 システムプロパティにて,WORKGROUPに変更-再起動を行い gpeditでポリシーが変更可能であることを確認出来ました。 >ドメインコントローラと接続出来ないという認識でいいでしょうか。 >余談になりますが、ドメインからの離反はDCとの通信が出来なくても可能です。 「現在は別のLANに接続しており,DCと接続出来ない」という意味で書きました。 ご指摘いただいた内容についても,理解いたしました。 不勉強で恐縮です。 ありがとうございました。