ADログイン時にアカウント情報を参照する順番は？

以下の環境でADドメイン管理をしております。

ADサーバ：Windows 2003 server
クライアントPC：Win XP Pro
ドメイン名：ABC.local

当ドメイン「ABC.local」に参加しているアカウントが100アカウントだとして、それらすべてのアカウントに対して”ユーザは次回ログイン時にパスワード変更が必要”にチェックを入れました。

実際に当ドメインに参加しているユーザがログインする時に、パスワード変更が求められる場合と求められない場合が見受けられました。

パスワード変更が求められずにそのままログインできてしまったユーザは、ドメインの認証がされていないようで同ドメイン内の他のファイルサーバなど参照する際にID/パスワードが求めらます。つまりADと通信をせずPCのキャッシュを見てしまっているようなのです。

はじめは必ずADサーバと通信するようにする方法や、アカウント情報を参照する順番について、教えていただけると大変うれしいです。

No.1 ベストアンサー 回答者： tarepanda009 回答日時： 2008/09/16 09:12

ログインするときにADでない方でしてしまっているのではないでしょうか？　（ログインするときにどちらの環境でログインするか選択できますので。

また念のため、参照するDNSがどこになっているか確認してみてください。）

この回答への補足

ADサーバ上に確実に存在するアカウントでログインしようとする場合に上記現象が発生しています。

また、ログインする時の接続先も正しいドメイン名を選択していることが確認できています。

ちなみに、そのようなユーザにはいったんログオフしていただいてログインしなおすと、パスワード変更要求が出ます。

参照しているDNSは最初に参照する先がPDC、次に参照する先がBDCのIPが設定されているので問題ないと思っています。

補足日時：2008/09/16 09:16

No.3 回答者： tarepanda009 回答日時： 2008/09/16 13:42

>ADサーバとクライアントPCとで同期が正確にとられているかのチェックという意味でしょうか？

その通りです。あまりずれているとKerberos認証に不都合があるそうなので。

この回答への補足

確認しましたが、クライアントPCとADサーバは同期がとれているようなんですよね。。

補足日時：2008/09/16 16:29

この回答へのお礼

自己解決しました。

XPでは高速ログオン最適化機能というものがデフォルトで有効になっているようで、まさに今回の現象に合致します。

Windows XP Professional の高速ログオン最適化機能について
http://support.microsoft.com/kb/305293/ja

いろいろとご回答ありがとうございました。

お礼日時：2008/09/18 09:46

No.2 回答者： tarepanda009 回答日時： 2008/09/16 09:46

それほど詳しいわけではないので私では解決には至らないと思いますが、後はPCの時刻チェックでしょうかね。

この回答への補足

PCの時刻チェックというのは、ADサーバとクライアントPCとで同期が正確にとられているかのチェックという意味でしょうか？

補足日時：2008/09/16 10:15