dポイントプレゼントキャンペーン実施中!

アクティブディレクトリ  ユーザのグループ設定

解決済

  • 質問者:VTR2010
  • 質問日時:
  • 回答数:2

Windows Server 2008 R2 でアクティブディレクトリ(AD)を構成しています。(DCは2台)
ユーザーに設定したグループが数時間で削除されてしまいます。


 ユーザー名 admin を administratorsに設定します。(GUIで設定)
  しばらくは、この権限で動作します。しかし、数時間後は、このグループから外れています。

何らかのグループポリシー等が影響しているのでしょうか。
基本的にはインストールの設定から変更指定ません。
変更した箇所 
  ・アカウントポリシーの パスワードの複雑さ要件


 
原因が分らず、困っています。 ご存じの方、よろしく解決策をお教え下さい。

通報する

この質問への回答は締め切られました。

質問の本文を隠す

A 回答 (2件)

No.2ベストアンサー

  • 回答者: quidaole
  • 回答日時:

 回答遅くなってすみません、回答者No.1です。



原因が2つ考えられそうなので、ご確認ください。

(1)「アカウントに関する設定変更が為されない情報」が上書きされて無効になる

 ActiveDirectoryの既定の設定ではドメインメインコントローラ間でグループポリシー(の保存先のフォルダ)を相互にコピーする設定が有効になっているのですが、これは一方から他方へ上書きという形になっているために複数のドメインコントローラにて別々のグループポリシー設定を施すと、一方の設定が消えてしまいます。

 この問題の対策としてグループポリシーに関連する作業(ポリシーの編集、OUの作成やリンク、アクセス許可の設定など)はPDCエミュレータ(※)の操作マスタトークンを持つドメインコントローラ上で行うことが推奨されています。

 ※:旧バージョンのサーバーに対してPDCの役割をする機能
   「PDCエミュレータの操作マスタートークンを持つドメインコントローラ」は
   「ActiveDirectoryユーザ-とコンピュータ」でドメイン名を右クリック-
   「操作マスタ」-「PDC」タブのサーバ名で確認できます。

 ではグループポリシーの設定を全てこのPDCエミュレータの操作マスタトークンを持つドメインコントローラでのみ行うのかというとそうでもなく、それぞれのドメインコントローラにて「グループポリシーオブジェクトエディタ、およびグループポリシー管理ツール(GPMC)」を使用する事で(レプリケーションの同期による問題を防止する為に)PDCエミュレータの操作マスタであるドメインコントローラにアクセスしてポリシーの編集を行うよう設定されています。

 まとめて言うと、今回のユーザーに関する設定変更が消えてしまったのはドメインコントローラ間での設定フォルダの複製機能によるものであり、対策としては個々のドメインコントローラ上での設定変更を行うのではなく、GPMCにて設定を行うように統一することで設定変更が消えてしまうことを防止できる、という事です。


(2)アカウントポリシーをドメインのグループポリシー以外で設定している
 アカウントポリシーは、OU でなくドメインのグループポリシーオブジェクトで設定してください。(Q255550)
  homepage2.nifty.com/winfaq/w2k/ad.html
 

参考URL:http://www.office-qa.com/win/win75.htm
    • good
    • 0
通報する
この回答へのお礼

quidaoleさん ありがとうございます。

> (1)「アカウントに関する設定変更が為されない情報」が上書きされて無効になる
> (2)アカウントポリシーをドメインのグループポリシー以外で設定している
--------------------------------------------
PDCの概念は無くなったとおもっていましたが、裏ではあるのですね。
ご指示のとおり、PDCを確認しました。

今回のご回答で色々と操作している時に、つぎの事が判明しました。
・消えるグループは adminstrators のみである。
これで、検索すると次のURLにたどりつきました。
http://technet.microsoft.com/ja-jp/library/cc785 …
http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.ph …

Windows Server 2003 :デフォルトはなし。
Windows Server 2008 :デフォルトに「administrators」が設定されていました。

これを解除して、様子をみます。

ありがとうございました。

通報する
お礼日時:2011/08/15 07:01

No.1

  • 回答者: quidaole
  • 回答日時:

 ドメインコントローラにプライオリティはつけているんですよね?


 数時間で解除されるというのは、数時間おきに他方のドメインコントローラとグループ設定の同期をとるようになっているのではないでしょうか。双方の最小公倍数の設定になるのではなく、一方に完全に一致するようになっているとか。
    • good
    • 0
通報する
この回答へのお礼

quidaoleさん 、早速の回答ありがとうございます。

設定はメインで実施して、その後、別の DCで確認して、グループに所属していることを
確認しました。
 → 2台の DCで、同一内容であることの確認。(グループに所属)


ADのインストールはウィサードで実施しただけで、特に同期指定とかの変更はしていません。

アクティブディレクトリ内のサーバは2台(ともに Windows Server 2008 R2,DC)で、
ドメイン機能レベルは「Windows Server 2003」としています。

ちなみに、同時の設定はとこで実施するのでしょうか。よろしかったら、お教え下さい。

以上 よろしくお願い申し上げます。

通報する
お礼日時:2011/08/14 10:24

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

Q質問する(無料)

関連するカテゴリからQ&Aを探す

ページトップページトップ

Q質問する(無料)

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング

おすすめ情報