• 締切済み

Windows server2k8のAD構築

試験用環境でActiveDirectoryの設定を試してみたいと試行錯誤しています。 LAN内に、次の2台のPCを作成し、ドメインを設定したいです。 ・VM1 (Win2008R2 Standard)ADサーバにする。 ・VM2 (WinXP)ドメインのメンバーにする。 VM1に、domainというフォレストと、その中にdomainというドメインを作成し、user01を作成しました。 また、VM1にGPO(グループポリシーオブジェクト)を作成し、VM2をドメインに参加させ、VM2にdomain@user01でログインすると、強制的にこのGPOを適用されるように設定したいです。 練習でやってますので、GPOはなんでもよいのですが、とりあえず、壁紙を無地にする。スクリーンセーバーを設定する。という設定をしたのですが、VM2にdomain@user01でログインしてもそのようにはなりません。 ActiveDirectoryは今回初めて触るようなレベルですが、アドバイスよろしくお願いします。

みんなの回答

  • maesen
  • ベストアンサー率81% (646/790)
回答No.2

実施した設定をもう少し詳しく正確に書いて頂くことが問題解決の早道です。 少なくとも、user01を作成した場所(どのOU 又は コンテナか) GPOのリンク先(ドメイン、サイト、OU のどれか) GPO設定内容(設定した項目と設定内容) 個別のユーザーやコンピュータにGPOを適用する場合、それぞれのOUを作成してその中にユーザーやコンピュータアカウントを格納し、そのOUにGPOをリンクします。 Default Domain Policy の設定変更はドメイン全体の設定以外は行いません。 壁紙、スクリーンセーバ関連の設定はユーザーの設定ですので、こんな感じの設定になると思います。 ・ユーザー用のOUを作成する(例として Org1Usersとする) ・Org1Usersにuser01を移動(新規の場合はここに作成)する ・GPOを作成し、Org1Usersにリンクする(例として Org1UsersPolicyとする) 最小限必要な設定はこれだけで良いはずです。 なお、クライアント側のGPO適用はデフォルトで90分間隔なので、ドメインコントローラ上で設定を変更しても直ぐには適用されません。 クライアントで gpupdate /force コマンドにて強制的に適用することが出来ます。 ネットワークなどの問題があるとGPOは適用されないことがあります。 GPOが適用されているかを見るには gpresult コマンドを使用します。 OSがWindows XPなので gpresult の結果が特に管理用テンプレートの部分は詳細が見難いですが、少なくとも「適用されたグループポリシーオフジェクト」で設定の対象となっているかはわかります。 また、GPOが適用されたときにはイベントログに情報が載るはずです。(設定内容までは載りませんが) 今後もActive Directoryを構築したり運用する機会があるのならば正しい知識を身に着ける方がいいでしょう。 この辺のWebサイトは目を通して置きたいところです。 http://www.atmarkit.co.jp/fwin2k/operation/2003adprimer01/2003adprimer01_01.html http://news.mynavi.jp/series/AD/menu.html

  • kekyo0
  • ベストアンサー率62% (5/8)
回答No.1

それほど詳しくないので間違っていたらごめんなさい。 GPOを作成した際に、どのOUにリンクしていますか? 例えば、「My Organization」というOUを作成して、ここにGPOをリンクした場合、このOU内に目的のオブジェクトが配置されていないと、そのグループポリシーは適用されません。 #デフォルトドメインポリシーなどに直接設定した場合は、問題ありません。 実際にポリシーが適用されるかどうかは、グループポリシー管理エディタを使用し、ツリーから目的のポリシーをクリックして、「設定」タブを見ると分かります(継承されたGPOによって、指定が無効化されていないかどうかが確認できます)。 あとは、GPOのクライアントサイドのキャッシュが更新されていない可能性が考えられます。 gpupdateコマンドで、手動で更新してみて下さい。 http://www.atmarkit.co.jp/fwin2k/win2ktips/616gpupdate/gpupdate.html

  1. カテゴリ
  2. [技術者向] コンピューター
  3. OS(技術者向け)
  4. Windows系OS

関連するQ&A

  • アクティブディレクトリーのGPOで質問

    アクティブディレクトリーのGPOで質問 ある環境で、PC・ユーザーIDともにポリシーを付けておりますが、 この場合、どっちのポリシーが優先されるのでしょうか? たとえば・・・ スクリーンセーバーを各OU(PC・ユーザーID)ごとに別に設定した場合、 ユーザーIDでログインした場合、どちらのスクリーンセーバーになるのでしょうか?

  • windows server 2003のドメインについて

    今2003を勉強しているのですが 「ドメインコントローラセキュリティポリシ」と「ドメインセキュリティポリシ」の違いがわかりません。 「ドメインコントローラセキュリティポリシ」はActiveDirectoryユーザとコンピュータのドメインコントローラのOUのグループポリシーの事ですよね。違ってますか? 合ってると解釈してだったら「ドメインセキュリティポリシ」はいったい何なんですか?設定は似たような感じがしますが。 わかりやすく各セキュリティポリシーの役割と違い、運用の仕方などを教えてください。それに関するHPでも構いません。 マイクロソフトのHPに行ってはみたものの用件を得ない説明で余計混乱しました。 よろしくお願いします。

  • ADにおけるグループポリシーの適用順序について

    ドメインに参加しているPCが起動後ログインした場合に、 ローカル、サイト、ドメイン、OUの順にGPOが適用されるというのはわかるのですが、混乱しているので教えてください。例えば、OUにGPOがリンクしているときに: 起動時にあたるのは、コンピュータが属しているOUにリンクされているGPOの、コンピュータの構成(GPO上部)にあたる部分だけが適用されるのでしょうか? 同様に、ログイン時に当たるのはユーザが属しているOUにリンクされているGPOの、ユーザーの構成(下部)のみでしょうか? それとも起動時およびログイン時にはそれぞれ、コンピュータの構成→ユーザーの構成の順に各々当たるのでしょうか? 基本的な質問で申し訳ありませんが、よろしくお願いします。

  • windows server 2003でアクティブディレクトリを運用し

    windows server 2003でアクティブディレクトリを運用しています、 serverマシンからドメインユーザーのパソコンにリモート接続を 行いたいと考えています。 ドメインに参加した時点での初期状態では各ドメインユーザーの PCでは、リモートデスクトップの機能が無効になっていて リモート接続を受け付けてくれません。 そこでOUのグループポリシーを設定することでドメインにログオンしたユーザーは リモートデスクトップ接続を許可する設定にしたいのですがうまくいきません。 色々調べているのですが、ドメインユーザーがserverにリモート接続する許可を与える方法は出てくるのですが、ドメインユーザーのPCへのリモート接続を許可させたいのです、 各ドメインユーザーのPCで直接administratorでログインしてリモートデスクトップを許可するのではなく、 server側でポリシーを設定してドメインユーザーのPCへリモートデスクトップで接続できる方法を お教え願います。

  • WINDOWS SERVER 2003ドメインでのグループポリシーに関

    WINDOWS SERVER 2003ドメインでのグループポリシーに関しての質問です。 この正月に、社内の組織変更が大幅にあり、ユーザーの入れ替えが大きく発生します。 で、グループポリシーで設定した制限等を解除したいのですが反映されません。 何点もあるので具体例はなかなか出せないのですが、たとえば あるユーザーに対してスタートメニューにある「windowsUpdate」を表示させないようにしたのですが、そのユーザーの属するOUに対するポリシーを「未構成」にしても反映されません。 多少調べると、レジストリを書き換えてしまうようなポリシーに対しては「未構成」ではなく「無効」にしなくてはいけないとの記述があったのですが、とすれば、すべての制限項目に対して「有効」から「無効」にしたポリシーを全コンピューターと全ユーザーに対して適応させてからそのポリシーを消去して再度ユーザー構成に合わせた社内の組織変更後に合わせたポリシーを作成しなおしていくしか方法はないのでしょうか? そのほかにもUSBメモリの制限などコンピューターに対する制限も多々設定しております。 その場合も上記の方法しかないのでしょうか? これを超えるなにか効率的な方法はありませんでしょうか? 社内のLAN構成としてはおおまかに ドメインコントローラー・・・・・・2台(OSはすべてServer2003R2Standard) ファイルサーバー・・・・・・・・・8台(OSはすべてServer2003R2Standard) クライアントコンピューター・・・12台(OSはすべてXP Pro SP2) となっております。 どなたかお助けください。。。

  • AD,ログインするとComputersに

    Windows server 2003 です。 Active Directoryを使ってドメイン管理をしています。 サーバーがクラッシュしたので、再構築中です。 ドメインを作成し、ユーザーを作成したのですが、 以前設定した際は、ユーザーがログインすると ドメイン名の左の+をクリックすると出てくる「computers」というところに、ログインしているユーザーが表示さていたのですが、現在表示しない状態です。 何か表示されるように設定があったでしょうか? よろしくお願い致します。 (ログイン自体はできているようですが、これがキャッシュでログインしたものなのかどうか・・・)

  • GPOによるドライブ不可視(Windows2008)

    WindowsServer2008 Standard(32bit)のドメインGPOに関して教えてください。 クライアントドライブ(x、y、z)の不可視をGPOにて設定することになりました。 MSのWEB(最下行URL)記載のように、system.admの設定を変更しようとしましたが、標準ではsystem.admが存在していません。 「Adm フォルダーとその内容は、既定のドメイン ポリシーが初めて読み込まれるまで作成されないことに注意してください。 」という記載があるのですが、具体的にどうすれば規定のドメインポリシーが読み込まれ、system.admが作成されるのか判断できませんでした。 どなたかご存じの方がいらしたら、教えていただけないでしょうか? http://support.microsoft.com/kb/231289/ja

  • OUを移動してもポリシーが変わらない

    Windows2003でActiveDirectoryを構築しておりますが、挙動が判らないことがあり、 経験者の皆さまのお知恵を拝借したく存じます。 ドメイン参加しているPCのアカウントのポリシーを変更する際に、 「ActiveDirectoryユーザーとコンピュータ」の画面で、USR2というOUに所属しているアカウントを ドラッグ&ドロップしてUSR1というOUに移動させました。 USR1とUSR2はUSRという階層の下にあり、USRはALLというドメインの配下にあります。 ここで、USR2に対して設定してあるGPO(Windowsの設定-IEのメンテナンス-接続/プロキシの設定)がUSR1に移動させた後も外れない状態になってしまっています。 PCを何度もログアウトしたり、再起動しても同じです。 また、そのGPOは同じレベルのUSR1及び上の階層のOUでも使用していません。 このユーザーは色々なソフトをインストールしてあるので、アカウントを作り直す訳には いかないので困っています。 こうしたGPOによる設定内容をリフレッシュする方法はあるのでしょうか? よろしくお願い致します。

  • Windows2000におけるサーバに対するアクセス制限に関して。

    お世話になっております。下記の環境において、サーバ のアクセス制御が出来るか質問です。 ■サーバ環境:Windows2000Server □クライアント:Windows2000 の環境でDomain参加、ユーザーは、ActiveDirectoryで ユーザーIDは管理されています。 また、サーバは、 -1. プロキシィーサーバ -2. 共有フォルダが存在するサーバが数台 -3. ADサーバ などがあります。今、ActiveDirectoryにあるGroupを 作成しその下にユーザーを作成します。 そのGroupは、上記2/3のサーバにはアクセスできず、 IEでプロキシィーサーバのみ使用できるように、設定 をすることが出来るのでしょうか?Groupポリシィー などを作成することによって制御できるでしょうか? 共有フォルダが存在するサーバが、幾つもあり、サーバ 側のフォルダのセキュリティーの設定では、大変なので、 ActiveDirectoryの方で出来るか知りたく書き込みしました。 以上、宜しくお願い致します。

  • ADにログインしても共用サーバに認証されない(特定ユーザーのみ)

    Windows server2003のActivedirectoryのドメインユーザーである特定ユーザーAだけにタイトルのようなことが起こります。 マシンを起動しユーザーAでログインすることはできますが、シングルサインオンによりパスワードの入力なしで共有サーバにアクセスできるはずなのにパスワードの入力を求められます。 正しいパスワードを入力しても認証されず、何度か入力しなおすとポリシーに引っかかってアカウントがロックアウトされてしまいます。 かれこれ3日ほど続いている状態です。 一週間ほど前にADの再構築が行われました。同じドメイン名で再作成し、その際共有サーバ(IODATAのNASを使用しています)もADに改めて参加させました。 再構築を行ってからタイトルのようなことが起こり始めたので、ここに原因があるのだろうと考えているのですが何が原因かわかりません。 全ユーザーに発生するのではなく、特定のユーザーAのみに発生していることも気になります。 ユーザーAの作成方法、作成時期はほかのユーザーと同じで違いがありません。 何が原因でユーザー認証されないのか、なぜ特定ユーザーのみに起こるのか原因が知りたいです。 よろしくお願いいたします。 クライアントOS:Windows XP Professional Edition Version2002 servicePack 3 サーバOS:Windows server2003 R2

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する