• ベストアンサー

AD参加時にローカルアカウントを無効化したい

クライアントPCはWinXPです(今後Win7に変わる予定です) 例えば、ローカルアカウント「TEST」(管理者権限あり)でPCを設定したとします。 そののち、ドメインアカウント「ADUSER1」でActiveDirectoryに参加します。 その際に、ローカルアカウント「TEST」を無効化したいのですが、 ADポリシーで実施可能でしょうか。 どうぞよろしくお願いいたします。

質問者が選んだベストアンサー

  • ベストアンサー
  • maesen
  • ベストアンサー率81% (646/790)
回答No.4

No3です。 補足します。 >「TEST」の名称とそのパスワードは決まった名前なのですが、ローカルアカウントとして存在しているPCといないPCが混在しています。 net userコマンドのバッチにした場合、スタートアップスクリプトに設定したそのバッチファイルがエラーで終了するだけで、PCを使用する側からはこれらのバックグラウンドで起きていることは見えません。 net userコマンドがエラーで終わることに抵抗がなければ、「TEST」が存在するしないにかかわらずnet userコマンドのバッチをスタートアップスクリプトで実行しても実害はないです。 「TEST」ユーザーの存在チェックをして存在する場合は無効にするというスクリプトのほうがより良いとは思います。

sarugetu
質問者

お礼

重ねての回答有り難うございました。 だいぶ運用イメージが掴めました。

全文を見る
すると、全ての回答が全文表示されます。

その他の回答 (3)

  • maesen
  • ベストアンサー率81% (646/790)
回答No.3

>例えば、ローカルアカウント「TEST」(管理者権限あり)でPCを設定したとします。 この例ではローカルに「TEST」というユーザーアカウントになっていますが、無効化したいユーザーアカウントは名前が決まっていてのでしょうか? 名前が決まっているのであれば、net userコマンドでそのアカウントを無効にするバッチを作成して、スタートアップスクリプト(ログオンじゃないよ)で実行するようなグループポリシーを作成すればいいのではないかと。 名前が決まっておらず、また、PCによって無効化すべきユーザーアカウントの数も違うのであれば、現在のユーザー一覧を取得しそれを一つずつ無効化するような処理(必要ならば無効化しないユーザーは除外することも含め)をVBスクリプトなどで作成し、スタートアップスクリプトで実行するようなグループポリシーを作成すればいいのではないかと。 ポリシーの設定一つでローカルユーザーが全て無効になるような項目は無いはずですので、一つずつ処理していくような仕組みにしないといけないはずです。 スタートアップスクリプトの問題点はこのポリシーを適用している状態では常にスタートアップでこのスクリプトが実行されてしまうということです。 例外的に一部のPCのみ無効化をやめたい場合は、ADのOUからそのコンピュータアカウントを外すなどの処置をする必要があります。

sarugetu
質問者

お礼

回答有難う御座います。 「TEST」の名称とそのパスワードは決まった名前なのですが、ローカルアカウントとして存在しているPCといないPCが混在しています。 ポリシーで任意のローカルユーザーを操作することはできないんですね。 スクリプトでならば解決できそうなので検討してみます。

全文を見る
すると、全ての回答が全文表示されます。
  • EF_510
  • ベストアンサー率50% (306/604)
回答No.2

ポリシーを設定する場所はNo.1さんのところで良いですが、グループポリシーでも設定できます。 ただし、ローカルのWindowsをセーフモードで起動した場合にはどこでどんなポリシーを設定してもAdministratorは有効になります。

sarugetu
質問者

お礼

回答有り難うございました。 「TEST」アカウントは、Administratorとは別に作成したアカウントです。 それでもグループポリシーで無効ができるのでしょうか?

全文を見る
すると、全ての回答が全文表示されます。
  • riveron77
  • ベストアンサー率48% (180/370)
回答No.1

Domain Adminなユーザーでログインして↓をやる。 http://trendy.nikkeibp.co.jp/article/tec/winxp/20070403/121463/ ではダメですか?

sarugetu
質問者

お礼

回答有難う御座います。 既に運用してしまっているPCのローカルアカウントも無効にしたかったので、PC側での作業は考えていませんでした。

全文を見る
すると、全ての回答が全文表示されます。
  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • ドメインに参加している全クライアントPCのローカルポリシー>セキュリティオプションを一括で変更したい

    以下の環境で、ADドメインを構築しています。 サーバ:Windows server 2003 クライアント:Win XP Pro ドメイン名:ABC.local ADアカウント:テスト環境用にtest1とtest2を作成 「セキュリティの設定」→「ローカルポリシー」→「セキュリティオプション」の設定を当ドメインに参加するクライアントPCに対して一括で設定することはできないのでしょうか? セキュリティ対策の一環として、以下のような設定を考えています。 1.パスワードの有効期限:30日 2.パスワードの最低文字数:5文字以上 3.アカウントロック失敗回数:3回 4.パスワード有効期限の何日前に変更を促すか:10日 1~3に関しては、ドメインコントローラサーバ上でグループポリシーオブジェクトを開き、「セキュリティの設定」→「アカウントポリシー」→「パスワードの設定」と「アカウントロックアウトの設定」で設定が可能で、クライアントPCが当ドメインにログインする際に確認される項目のため、全クライアントPCに対して設定しなくてもドメインコントローラ上の設定だけで大丈夫です。 ただし、4に関しては各クライアントPCで「セキュリティの設定」→「ローカルポリシー」→「セキュリティオプション」の設定を変更すれば大丈夫ですが、ドメインコントローラ上で同じ設定をしても各クライアントPCには適用されません。(←ドメインコントローラマシンに対してのみのローカル設定という意味だと思うので当然だとは思いますが) どなたか、ドメインに参加するクライアントPCに一括で「ローカルポリシー」→「セキュリティオプション」を設定する方法をご存知でしたら教えてください。

  • ActiveDirectoryのドメイン参加につい

    ActiveDirectoryのドメイン参加について VmplayerでADを構築しましたが、ドメインに参加できません。 ■環境 Server側設定情報 ・Server:WindowsServer2008 R2 ・IP:192.168.0.11/24 ・NIC:ホストオンリー ・ドメイン:test.local ・コンピューター名:DC1 クライアント側設定情報 ・IP:192.168.0.20/24 ・デフォゲ:192.168.0.11 ・NIC:ホストオンリー ・コンピューター名:PC1 クライアントPCからサーバへのPingは届いていますが、 クライアントPCをドメインに参加させようとすると ドメイン名の"test.local"のActiveDirectoryドメインコントローラ(AD DC)に接続できませんでした。 ドメイン名が正しく入力されていることを確認してください。と出てしまいます。 VMの設定でしょうか?ホストオンリー同士では通信できないのでしょうか? どなたかご教授願います。

  • WinXPでドメインに参加時のエラーについえ

    クライアントWinXP(SP2)にて、ログインユーザーの権限をAdministrators以外にした場合、「このシステムのローカルポリシーは、このユーザーが対話的にログオンすることを許可していません。」が出力されます。 Win2KのクライアントではPowerUser等でもログオンでき、しかも最近購入したWinXP(SP2)でもログトンできました。 ドメイン(AD)のグループポリシーは特に設定しておりませんし、上記症状よりクライアント毎の設定かと考えておりますが解決できません。 お解りの方がおられましたらご教授よろしくお願いいたします。

  • AD環境のアカウントのパスワード有効期限の設定はBuiltinのドメインAdministratorにも適用されるのでしょうか?

    ADサーバ環境でドメインが構築されています。 ADサーバ:Windows 2003 server ドメイン参加サーバ:Windows 2003 server x5台 クライアントPC:XP Pro x100台 ドメイン名(仮名):ABC.local ・ADのアカウントをクライアントPCユーザ用に100アカウント作成されています。 ・ドメイン参加サーバ5台にはすべて、BuiltinのドメインAdministratorアカウントでログインしています。 ・ABC.localドメイン全体のセキュリティポリシーとして、Default Domain Policyを以下のように編集します。 -パスワードの有効期限=30日 この環境の場合、パスワードの有効期限が適用されるのはクライアントPC用ユーザの100アカウントだけでなく、BuiltinのドメインAdministratorアカウントにも適用されてしまうのでしょうか? クライアント用ユーザ100アカウントのパスワードだけ、変更要求を出したいと思っています。 ドメインAdministratorのパスワードまで変更しなくてもすむような設定、回避方法はありますでしょうか? 教えていただけますと大変助かります。

  • セグメントの異なるADへの参加

    お世話様です。 環境:大阪 ActiveDirectory(2003)    東京 NTドメイン(NT4.0)    クライアント(WinXP SP2) 上記のような環境があり、クライアントマシンは東京にあります。 このクライアントを大阪のActiveDirectoryのメンバにしようと思うのですが ActiveDirectoryに参加させようとすると、「ドメインコントローラと接続できません」と エラーが表示されてしまいます。 クライアントのDNSは、大阪のActiveDirectoryのIPアドレスが指定されており lmhostsにも大阪のActiveDirectoryサーバとドメイン名が記述されています。 セグメントの違うActiveDirectoryのメンバになるには 他にクライアント側の設定が必要なのでしょうか?

  • ADログイン時にアカウント情報を参照する順番は?

    以下の環境でADドメイン管理をしております。 ADサーバ:Windows 2003 server クライアントPC:Win XP Pro ドメイン名:ABC.local 当ドメイン「ABC.local」に参加しているアカウントが100アカウントだとして、それらすべてのアカウントに対して”ユーザは次回ログイン時にパスワード変更が必要”にチェックを入れました。 実際に当ドメインに参加しているユーザがログインする時に、パスワード変更が求められる場合と求められない場合が見受けられました。 パスワード変更が求められずにそのままログインできてしまったユーザは、ドメインの認証がされていないようで同ドメイン内の他のファイルサーバなど参照する際にID/パスワードが求めらます。つまりADと通信をせずPCのキャッシュを見てしまっているようなのです。 はじめは必ずADサーバと通信するようにする方法や、アカウント情報を参照する順番について、教えていただけると大変うれしいです。

  • ローカルサーバのドメインへの参加について

      部署内でローカル(ワークグループ)で運用しているファイルサーバ『soumu』(Windows2000ServerSP4)があり、ローカルのアカウントを作成してフォルダを管理しています。これをセキュリティの必要上から社内の大きなドメイン『shanai』(Windows2000ServerでADを構築)に参加させようということになりました。   ローカルのアカウントは、『shanai』ドメインのアカウントと同じもので作成してパスワードも同じに設定しているためこれまでは特に意識することなく『soumu』サーバにアクセスできました。   しかし、『soumu』サーバを『shanai』ドメインに移行したところ、クライアントPC(Windows2KProSP4)からはeveryone権限が設定されているフォルダにしかアクセスができなくなりました。(それ以外のアクセス権を設定しているフォルダへは『アクセスが拒否されました』となります)   『soumu』サーバにはグループを作成して細かくアクセス権限をフォルダごとに設定していますので、同じ環境を引き継ぐことはできないでしょうか。   込み入った説明でわかりづらいと思いますが、どうかよろしく願いいたします。

  • ドメイン参加後、ローカルにログオンできない

    ドメイン参加後、ローカルにローカルの管理者アカウントでログオンできない 会社でPCのキッティング作業をしています。 本職は事務であり難儀している上、上司の意向で他の部署(今回の質問ではサーバーを扱う部署)への質問が禁止となっています。他部署へは設定変更依頼しか出せません。内容に誤りがあっても回答や示唆はありません。 そんな状況で申し訳ないのですが、質問させていただきます。 気軽にご回答いただいて大丈夫です。 本環境のサーバーはWindows Server でバージョンなどは不明、クライアントPCはWindows 7 Professionalです。 会社で使用する複数の同機種同構成のPCを設定していますが、ドメイン参加後に、それまでの設定作業で使用していたローカルのAdministratorsグループのアカウントでローカルにログオンできなくなります。 その際の操作と表示は以下のとおりなのですが、要因がドメイン参加後やサーバー側にあるとした場合、どの設定が関与している思われますでしょうか。 --- 1)Adminsitrator権限である「KIT」というアカウントで、WORKGROUPで作業。  ソフトのインストールなどを行います 2)ドメイン参加を行う。  KITアカウントには参加させる権限は無いので、KITでログオン後に  定められたユーザーアカウントでドメイン参加のユーザー認証を行う  参加後はPCを再起動 3)ドメイン参加後にもローカルにログオンして作業を行うため、以下のようにKITアカウントでログオンを試みる ・ユーザー名 ホスト名\KIT ・パスワード KITのパスワード 4)以下のメッセージが表示されてローカルにログオンできない。 お使いのログオンの方法はこのコンピューターでは許可されていないためログオンできません。 詳細はネットワーク管理者に問い合わせください。 --- ほかの気になるところ ドメイン参加の「KIT」による作業は、サーバー管理者が作成したキッティング工程に含まれています。 ドメイン参加後、ビルドインのAdministratorは無効になり、「KIT」以外の、サーバー管理者が定めたアカウント以外は削除されるか無効になります。なので、ドメイン参加後に「KIT」でログオンできなくなると、キッティング作業者は作業ができません。 「KIT」でログオンできなくても、既存の従業員はログオンできます。(\ドメイン\従業員ID、と従業員のPW) ドメイン参加後の初回のPC再起動で必ずログオンできなくなるのではなく、数時間や一日後にログオンできなくなるPCがあります。 ドメイン参加後に行う作業は他のファイルサーバー(NAS)からのソフトウェアインストールだけで、そのソフトはローカルへのログオンに関与していないことは確認済です。 ドメイン参加後にログオンできたPCと、ドメイン参加前までの作業を行ったPCを比較してみましたが、ローカルグループポリシーに差異はなく、KITアカウントもAdministratorのままであり、Administratorsグループに有効な設定で存在していました。 レジストリは自分の技術では比較箇所の見当がつきません。 あと、キッティング作業者の伝え聞く話では、サーバー担当者が今回のPCを参加させるドメインのOUを作るの作らないの、入れるの入れないの、ドメイン参加させるPCのコンピューター名が登録済みだの済んでないだので、なんだか怒られるそうです。 OUが何か調べればわかりましたが、概要だけです。 だらだらと書かせていただきましたが、どこの設定が関与していると思われますでしょうか。

  • オフラインドメイン参加後のユーザプロファイル作成

    初めて投稿します。 文書が稚拙で申し訳ありませんが、何卒、知恵をお貸しください。 全国津々浦々に配布済み200台のタブレットPCについて、ドメイン参加が急きょ必要と なりました。 この端末は、社内ネットワークに接続されず、Wifiモバイルルータを用いてインターネット 接続をおこない、必要に応じてVPNを用いて社内ネットワークに接続されます。 この度、オフラインドメイン参加コマンドを用いてドメイン参加はできましたが、初めて ドメインに参加したPCに対して、ドメインユーザプロファイルの作成ができずに困っています。 (PCにログオンする際は、常にローカルユーザでログオンしており、ログオン時はWifiルータ に接続されず、VPNにも接続していません。つまり、ドメイン参加後にユーザプロファイルが 作成できません) 以下にオフラインドメイン参加の流れを記載しますので、今後、どのタイミングで、どのように ユーザプロファイルを作成すればよいかご教示願いますでしょうか。 【環境】  ActiveDirectory ⇒ Windows Server 2008 R2  クライアントPC ⇒ Windows8.1 Pro  ※ADに対して、コンピュータオブジェクトおよび、ユーザアカウントは作成済み 【オフラインドメイン参加の流れ】 1.ADにて「djoin /Provision 」コマンドを実施し、ドメイン参加対象PCのオブジェクト   およびオフラインテキストを作成 2.クライアントPCにローカルユーザでログオン(Administarator権限) 3.クライアントPCにて「djoin」コマンドを実施し、オフラインドメイン参加をおこない   再起動    ※djoinコマンドが記載されたバッチファイルおよび、上記1で作成したオフライン     テキストをパッケージ化したEXEをメールで配布 4.クライアントPCにローカルユーザでログオン(Administarator権限) 5.VPNを用いて社内に接続   (ADと通信が確立して、ドメイン参加が完了となる。※ここで初めて社内と接続) 6.以下のコマンドを実施   net localgroup "administrators" "Domain Users" /add   ※1台のタブレットPCを複数名で利用するため、全ドメインユーザがクライアントPCに    対して管理者権限を付与する方が管理が楽だと考えました 感覚的には、上記5以降にDOSコマンドを用いてドメインユーザプロファイルを作成できれば OKかな?と考えていますが、そのコマンドが分かりません。 お手数ですが、上記の考え方で正しいのか否か、DOSコマンドが存在するのか、存在するので あればどのようなDOSコマンドなのか教えて頂けますか。

  • ローカルAminsグループにドメインAdminを自動で追加したい

    お世話になります。 現在、単一ドメイン(Win2003ActiveDirectory)にてサーバー運用しております。クライアントPCの設定が、基本的な項目を除きまちまちなのですが、管理上ドメインAdminアカウントでクライアントにリモートアクセスし、設定を確認したり等の作業を行なえるようにしたいと思っています。 そこで、全クライアントのローカルAdministratorsグループに、ドメインのAdministrator(またはドメインAdministratorsグループ)を一括設定できる方法はないでしょうか?グループポリシーを確認しましたが、それらしい項目が見当たりませんでした。なにかコマンドで設定できれば、ログオンスクリプトで流すなど可能かと思うのですが。 ちなみに各ユーザーのドメインユーザーアカウントは、各自PCのローカルAdministratorsグループに追加されています。 よろしくお願いします。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する