[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。
試しにターミナルサービスの役割を構成したサーバー(実際はライセンスの必要がない管理用リモートデスクトップ)で共有フォルダをネットワークドライブ(I:) として割り当ててみた。
[ユーザーの構成] -[管理用テンプレート]-[Windowsコンポーネント]-[エクスプローラ]-[以前のバージョン]にある
・[リモートファイルの以前のバージョンの一覧を表示しない]のポリシーを有効にしたらネットワーク経由でアクセスする一般ユーザーから、そのネットワークドライブ(I:)の[以前のバージョンタブ]が非表示になった。
しかし、これではポリュームのシャドウコピーを有効にした意味がない。管理者だけが、[以前のバージョン]からファイルを復元・コピーできるというならユーザーのOUを使い分ける方法もある。
しかし、このポリシーはVista以降にしか有効にならない。Server 2003にもこのポリシーはなかった。
意味を取り違えているのは、「一般利用者は、ドメインのDomainUsersのメンバとして登録し、RDPを利用してターミナルサービスが構成されているサーバーのデスクトップを利用させる」というところでターミナルサーバーの管理者が共有フォルダをネットワークドライブ(I:) として割り当てた場合、一般のDomainUsersはリモートデスクトップ接続してもそのネットワークドライブ(I:)が利用できない。
(質問)
共有フォルダのプロパティの以前のバージョンから一般ユーザにリストアさせたくないため、[以前のバージョンタブ]を非表示にしたい。
Windows Server 2008 R2のActiveDirectoryドメインサービスが展開されている環境に、Windows Server 2008 R2のターミナルサービスの役割を構成したサーバーを構成しました。一般利用者は、ドメインのDomainUsersのメンバとして登録し、RDPを利用してターミナルサービスが構成されているサーバーのデスクトップを利用させる想定でおります。
このときに、共有のファイルサーバをネットワークドライブ(I:)として接続させる想定なのですが、共有フォルダのシャドーコピーからのリストアを、一般利用者に許可したくありません。
Windows XP Professional の時は、regsvr32 /u twext.dllをローカルの管理者権限で実行し、タブを非表示にしておりました。
Windows Server 2008 R2環境で、同様に実現する方法をご存知の方、ご教示いただけませんでしょうか。
[環境]
Windows Server 2008 R2 SPなし
ActiveDirectoryドメインサービス環境(ドメイン機能レベルWindows Server 2008 R2)
---------------------------
(回答)
もしかすると意味を取り違えているのかもしれませんが、グループポリシーの[コンピュータの構成]と[ユーザーの構成]にある以下のポリシーでうまく制御できないでしょうか。
[管理用テンプレート][Windowsコンポーネント][エクスプローラ][以前のバージョン]にある、
・[ローカルファイルの以前のバージョンの一覧を表示しない]
・[リモートファイルの以前のバージョンの一覧を表示しない]
[ローカル・・・]を有効にすると、現在ログオンしているコンピューターの[以前のバージョン]タブが消えます。
[リモート・・・]を有効にすると、現在ログオンしているコンピューターからネットワーク経由でアクセスする共有の[以前のバージョン]タブが消えます。
ターミナルサーバーからアクセスする、全てのリモート共有の[以前のバージョン]タブが消えていいのであれば、
ターミナルサーバーに適用されるポリシーで[リモートファイルの以前のバージョンの一覧を表示しない]を有効にすればいいかもしれません。
条件によってはOUをうまく使うか、それぞれのサーバーのローカルポリシーで定義することでも可能です。
---------------------------
(結論)
私の質問の趣旨を汲み取っていただきありがとうございます。
実現したかったのは、ターミナルサーバー(リモートデスクトップサービスの役割有効化)にログインしたユーザが、net useで接続している接続先のネットワーク経由のファイルサーバにアクセスした際の、以前のバージョンタブを管理者以外には見せたくないということです。
今回、頂いた情報を基に、実現したかったことが実現できました。手順は、以下の通りです。
1.リモートデスクトップサービスを構成し、テストユーザでログイン出来ることを確認。
2.テストユーザでログインした際に、共有フォルダIドライブに接続できるようにしておき、そのプロパティを開くと、以前のバージョンタブが表示されることを確認。
3.ターミナルサーバ用のOU「TS」を作成。
4.ドメイン参加したターミナルサーバ「TSserver」をOU「TS」に移動。
5.ActiveDirectoryドメインサービスの役割のサーバでGPO「TS一般ユーザ」作成し、OU「TS」にリンクする。※セキュリティフィルタ処理は、デフォルト
6.GPO「TS一般ユーザ」の、コンピュータの構成のユーザ-ポリシーのループバック処理を有効化、ユーザの構成の[リモートファイルの以前のバージョンの一覧を表示しない]を有効化。
7.サーバ「TSServer」を再起動。
8.テスト用のユーザで、サーバ「TSServer」にRDPでログインし、全体の共有フォルダのプロパティを開き、以前のバージョンタブが表示されないことを確認。
情報ありがとうございました。
「コンピュータの構成のユーザ-ポリシーのループバック処理を有効化」は滅多な事では使わない方法である。
[0回]
会社情報漏えい対策の観点から、このような質問には回答する必要はない。
(質問)
試験問題作成委員会様、ご返信ありがとうございます。
私の質問の書き方が悪かったので再度質問させてください。
Active DirectoryのGPOを使って、特定機種のUSBメモリのみを利用許可したいと思っております。
1、USBメモリAは利用許可
2、USBメモリA以外のUSBメモリはすべて禁止
3、USBメモリ以外のUSBハードDISKといったUSBリムーバブルDISKはすべて利用許可
即ち、制限するのは”USBメモリA以外のすべての機種のUSBメモリ”であり、それ以外は利用許可としたいのです。
例えば
[コンピュータの構成]-[管理者テンプレート]-[システム]-[デバイスのインスト-ル]-[デバイスのインストールの制限]
のグループポリシーで
●他のポリシー設定で記述されていないデバイスのインストールを禁止する-->有効
●これらのデバイスIDと一致するデバイスのインストールを許可する-->でUSBメモリAのデバイスIDを入力
これでUSBメモリに関しては上記1,2、に関してはクリアされますが、3、をクリアするためにすべての機種のUSBハードディスクのデバイスIDを設定する必要があり、現実的ではありません。
そこで
●これらのデバイスセットアップクラスと一致するドライバーを使用したデバイスのインストールを許可する
を利用しようと考えたのですが、USBメモリとUSBハードディスクは同じセットアップクラスなのでUSBメモリA以外のUSBメモリも利用許可されてしまいます。
何か良い方法はないでしょうか。
---------------------------
(回答)
こんにちは、フォーラムオペレーターの○○○○です。
まず、ご質問に対してのアドバイスではないのですが、最初の質問に対して返信が付いた場合には、出来れば最初の投稿内容はそのままにしていただき、"返信" で質問内容が変わった旨をお伝えいただければと思います。
(話しの流れがおかしくなってしまいますので)
ご質問の件については、試験問題作成委員会さんに案内いただいた情報や下記の情報などを参考にしていただければと思いますが、少し条件が複雑なように見受けられますので、弊社有償サポート へご相談された方が良いのではと思われます。
(現在の状況や、利用したいデバイス・クライアントの OS によって方法が異なる可能性もありますので、まずは要件やご利用の環境について把握する必要があります)
- 参考情報
Disable Adding USB Drive and Memory Sticks via Group Policy and Group Policy Preferences
http://blogs.technet.com/b/danstolts/archive/2009/01/21/disable-adding-usb-drive-and-memory-sticks-via-group-policy-and-group-policy-preferences.aspx
HOWTO: Use Group Policy to disable USB, CD-ROM, Floppy Disk and LS-120 drivers
http://support.microsoft.com/kb/555324/en-us
それでは、こちらの情報が少しでもお役にたてれば幸いです。
---------------------------
(試してみたこと)
[コンピュータの構成](または[ユーザーの構成])-[管理テンプレート]-[システム]-[リムーバブル記憶域へのアクセス]-[リムーバブル・ディスク:書き込みアクセスの拒否]
のポリシーを有効にすると、USBメモリだけでなくUSBハードDISKも使用不可となった。(マイコンピュータをクリックして「リムーバブルディスク」、「ローカルディスク」と表示されるかに関係なく)
[コンピュータの構成] (または[ユーザーの構成])-[管理者テンプレート]-[システム]-[デバイスのインスト-ル]-[デバイスのインストールの制限]
のポリシーは一度でも接続してプラグアンドプレイでデバイスが認識されると、Admin権限でログオンして、接続されたデバイスのデバイスドライバを削除したうえで適用しなければ効果はない。
[0回]
グループポリシーの優先順位が意図したとおりにならない場合は時間をかけ検証してみる。
(質問)
自動ブラウザ構成のGPO優先度について
こんにちは。
現在、ActiveDirectoryのグループポリシーで自動プロキシURLの設定をしています
この度プロキシサーバの変更に伴い、
先行テストで一部のメンバーだけに新しいプロキシサーバを使用するように構成したく、
新規にOUを作成し新しい「自動プロキシURL」を設定したGPOをリンクしました。
しかし、このポリシーが有効にならず、従来の自動プロキシURLのままとなってしまいました。
問題の切り分けの為、VMware ESXi上に新規に
Windows Server 2003 R2 Standard(32bit)を構成し、
テストドメインを構築し試してみました。
[test.local]
[Parent] <- ParentGPO
[Child] <- ChildGPO
test(User)
ParentGPO
自動ブラウザ構成:自動プロキシURL:http://www.test.local/parent.pac
重要なURL:ホームページのURL:http://www.test.local/parent/
ChildGPO
自動ブラウザ構成:自動プロキシURL:http://www.test.local/child.pac
重要なURL:ホームページのURL:http://www.test.local/child/
ユーザー「test」を指定し、RSoPを実行したところ、結果は以下の通りです。
自動ブラウザ構成:自動プロキシURL:http://www.test.local/parent.pac
優勢なGPO:ParentGPO
重要なURL:ホームページのURL:http://www.test.local/child/
優勢なGPO:ChildGPO
このテストドメインはこのサーバのみの構成ですので、
レプリケーション等の問題は考えられません。
サーバ上での gpupdate /force も問題無く行われています。
--------------------------
(回答1)
とりあえず、当方で以下の設定を実施してみたところ、下記の通りなりました
\Parent\Chlid\TestUser
[Parent]
自動プロキシURL:http://www.parent.hogehoge.com/Proxy.pac
ホームページのURL:http://www.parent.hogehoge.com/
[Child]
自動プロキシURL:http://www.child.hogehoge.com/Proxy.pac
ホームページのURL:http://www.child.hogehoge.com/
【結果】
自動プロキシURL:http://www.child.hogehoge.com/Proxy.pac
ホームページのURL:http://www.child.hogehoge.com/
(環境)
DC:Windows Server 2008 R2
Client:Windows 7 Ent(IE 8)/Windows XP(IE 7
--------------------------
(質問・続)
皆さん様々な観点で検証して頂けるので、問題範囲が広がり過ぎている為、
質問内容を以下の通り再定義させていただきます。
•なぜ、Windows Server 2003 R2のDCでは
RSoPの結果が上記のようにポリシーの項目毎に優勢なGPOが異なるのか
環境の問題か、GPOの挙動の問題かを切り分ける為、
VMware ESXi上に新規でWindows Server 2003 R2 Standard(32bit)を構成し、
テストドメインを構築し試してみました。
[test.local]
[Parent] <- ParentGPO
[Child] <- ChildGPO
test(User)
ParentGPO
自動ブラウザ構成:自動プロキシURL:http://www.test.local/parent.pac
重要なURL:ホームページのURL:http://www.test.local/parent/
ChildGPO
自動ブラウザ構成:自動プロキシURL:http://www.test.local/child.pac
重要なURL:ホームページのURL:http://www.test.local/child/
ユーザー「test」を指定し、RSoPを実行したところ、結果は以下の通りです。
自動ブラウザ構成:自動プロキシURL:http://www.test.local/parent.pac
優勢なGPO:ParentGPO
重要なURL:ホームページのURL:http://www.test.local/child/
優勢なGPO:ChildGPO
このテストドメインはこのサーバのみの構成ですので、
レプリケーション等の問題は考えられません。
サーバ上での gpupdate /force も問題無く行われています。
皆さん様々な観点で検証して頂けるので、問題範囲が広がり過ぎている為、
質問内容を以下の通り再定義させていただきます。
•なぜ、Windows Server 2003 R2のDCでは
RSoPの結果が上記のようにポリシーの項目毎に優勢なGPOが異なるのか
--------------------------
(回答2)
前回の検証結果は
DC・・・Window Server 2008 SP2
クライアント・・・Windows Vista、Windows 7
の環境で検証したものですが、再度
DC・・・Window Server 2003 R2 SP2
クライアント・・・Windows XP
の環境で検証してみましたがユーザーを指定してのRSoPは意図したとおり(自動ブラウザ構成:自動プロキシURL、重要なURL:ホームページのURLとも[御質問の例で言えばChildGPO]が優先された結果となりました。
再度、したのMSのページ・資料のとおりDCのChildGPOが設定されているか確認してみてください。
http://technet.microsoft.com/ja-jp/library/cc726038.aspx
http://www.atmarkit.co.jp/fwin2k/win2ktips/031autoproxy/autoproxy.html
DCとそのユーザのコンピュータでイベントビューアを立ち上げアプリケーションログにエラーが出ていないか確認もしてください。
詳細なログ(Userenv.logというデバッグログ)をクライアントで取得する方法についてはChukiさんのコメントにあるページのとおりです。
Userenv.log の「読み方」については、MSのしたのページに情報があります。ですが、これらのログはグループポリシーの適用プロセスを理解していないと、判読は難しいと思います。
Understanding How to Read a Userenv Log – Part 1
Understanding How to Read a Userenv Log – Part 2
無償・匿名掲示板での正式な回答を期待するのは難しいのが現状ですので、MSの有償サポートを受けられた方が良いようにも思います。
--------------------------
(質問・続2)
○○○○さん、試験問題作成委員会さん、ありがとうございます。
まず、試験問題作成委員会さんの検証内容を受けて、
VMware上のテストーサーバ上で実際のユーザーへのGPOの適用を確認しました。
結果、試験問題作成委員会さんと同様「自動ブラウザ構成」も「重要なURL」も
どちらも「ChildGPO」の内容が反映されていました。
Chukiさんの情報を参照し、レジストリにて詳細ログを取るよう設定しましたが、
イベント内容及びデバッグログファイル内容とも問題はないようです。
この状態で、グループポリシー管理コンソールより
「グループ ポリシーのモデル作成」及び「グループポリシーの結果」を実行すると、
やはり「自動ブラウザ構成」の優勢なGPOは「ParentGPO」となっており、
「重要なURL」は「ChildGPO」が優勢なGPOになっています…はて?
「グループ ポリシーのモデル作成」のシミュレート結果が実際の結果と異なるのは
あくまでもシミュレートなのでということでまだ理解できるのですが、
「グループポリシーの結果」が実際の状態と異なるのはどうしてでしょう?
> 無償・匿名掲示板での正式な回答を期待するのは難しいのが現状ですので、
> MSの有償サポートを受けられた方が良いようにも思います。
アドバイスありがとうございます。
実際の環境で発生している問題については、サーバOSがOEM製品の為サーバメーカーへ問い合わせを既に実施中で
サポート担当よりサーバ及びクライアントのレジストリ変更、アプリケーションログ及びuserenv.logの収集を指示されていて、
既にこれらのファイルを提出し解析を実施してもらっています。
--------------------------
この質問に対する根拠資料としては以下のようなものがある。
(MSページ)
グループポリシーの優先順位
http://technet.microsoft.com/ja-jp/library/cc783171(WS.10).aspx
(参考資料)
http://www.atmarkit.co.jp/fwin2k/tutor/gpolicy06/gpolicy06_01.html
http://www.atmarkit.co.jp/fwin2k/tutor/gpolicy07/gpolicy07_05.html
(参考資料)
Internet Explorerのプロキシ設定をグループ・ポリシーで強制する
http://itpro.nikkeibp.co.jp/free/NT/WinReadersOnly/20041227/2/
http://itpro.nikkeibp.co.jp/free/NT/WinReadersOnly/20040816/1/
(参考資料)
グループ・ポリシーの反映状況について詳細なログを確認する
http://itpro.nikkeibp.co.jp/free/NT/WinReadersOnly/20040415/77/
(MSKB)
製品版 Windows でユーザー環境デバッグログを有効にする方法
http://support.microsoft.com/kb/221833
[0回]
Windows Server 2008 AD配下のWindows XPの無線LANをグループポリシーで無効化するのは難しいようである。
(質問)
Active Directoryのグループポリシーで無線LANを強制的に無効にできますか
Windows Server 2008のActive Directoryのドメインに、Windows XPを参加させて使用しています。
最近のPC機は、無線LANが標準装備されていることが多いですが、セキュリティ上、エンドユーザーに無線LANを使用させたくありません。グループポリシーを使用して、無線LANの無効化を強制することは出来ますでしょうか?
当方で調べた範囲では、グループポリシーにデバイスを無効にする機能がありますので、これを使用して無線LANのNICを無効にする方法を考えましたが、当方はPC機が2000機近く存在する環境であり、機種もばらばらです。無線LANのNICの機種単位にグループポリシーを作成するのは、とても実用的ではないと考えております。
以上。よろしくお願い申し上げます。
(回答1)
○○○○です。
もし Windows 標準のサプリカント (無線 LAN クライアント) を使っているなら、ですが、"Wireless Zero Configuration" (Windows XPであれば) サービスを無効化すると、無線 LAN 機能は使えなくなったはずです。
特定のサービスを強制的に無効化するのは、グループポリシーで実現できます。
(質問・続)
△△△△さんありがとうございます。
おっしゃるとおり、「コンピュータの構成」→「ポリシー」→「Windowsの設定」→「セキュリティの設定」→「システムサービス」をみました。サービスはたくさん一覧されていたのですが、肝心な「Wireless Zero Configuration」が一覧されていませんでした。
メニューなどで新規作成や追加をすることも出来ないようなのですが、「Wireless Zero Configuration」を一覧に追加する方法はあるのでしょうか?
以下のURLの問答が参考になるようですが、ADMXとか当方にはどうも難しそうです。
当方は、Active Directoryサーバー上でこの操作を実行しています。サーバー機はBladeで、無線LAN用のNICは搭載していません。そこに一覧されない理由があるように思います。
(回答2)
一覧には、そのマシン上に含まれるサービスが出てくるようです。
ドメインに参加してるWindows XPで、Adminpack.msiかグループポリシー管理コンソール(GPMC)をインストールしてグループポリシーを編集してください。
(回答3)
○○○○です。
たしかにおっしゃるとおり、Windows Server 2008 グループポリシーにこのサービス項目はないですね。グループポリシーオブジェクトを(2008上で)作成してから(ここでは一切編集せずに)、Windows XPで編集しましょう。GPMCでもMMCスナップインでも出来ます。下の方法を使ってください。
http://support.microsoft.com/kb/307900/ja
(MSページより)
http://technet.microsoft.com/ja-jp/library/cc730957(WS.10).aspx
http://technet.microsoft.com/ja-jp/library/cc730957.aspx
Windows XP、Server 2003ではWireless Zero Configuration サービス
Windows Vita、Server 2008ではWLAN AutoConfig サービス
とサービスの名称が違う。
Windows Server 2008で無線LANを利用するには、[サーバーマネージャ]で[ワイヤレスLANサービス]の機能を追加する必要がある
(参考資料)
http://www.atmarkit.co.jp/fwin2k/win2ktips/1112win2k8wl/win2k8wl.html
[0回]
BadPwdCountはインストールCDに付属しているSupport ToolsのADSI Editを使い確認できるがWindows Server 2003環境の挙動は複雑である。
(質問)
WindowsServer2003環境におけるアカウントロック(BadPwdCount)の挙動について
WindowsServer2003環境におけるアカウントロック(BadPwdCount)の挙動について不明点がございます。
以下の構成でドメインを構築しております。
・DC1:WindowsServer2003 R2SP2(PDCエミュレータ)
・DC2:WindowsServer2003 R2SP2
アカウントロックのポリシーに関しては以下の通りになっております。
・アカウントロックアウトのしきい値:5回ログオンに失敗
・ロックアウトカウンタのリセット:30分後
・ロックアウト期間:0
ユーザの認証失敗の際にBadPwdCountという値が、DC1(PDCエミュレータ)で増加し、DC2にコピーされる。
その値が『アカウントロックアウトのしきい値』に達した場合アカウントロックされる。という認識でおります。
①ログオンの成功にてBadPwdCountがクリアされるとのことだったのですが、
スクリーンセーバによる画面ロックから復帰する際にもBadPwdCountはクリアされるのでしょうか。
②ログオンの成功にてBadPwdCountがクリアされるとのことだったのですが、
DC2に認証を行って成功し、BadPwdCountがクリアされた場合、DC1側のBadPwdCountはクリアされるのでしょうか。
ご回答よろしくお願いいたします
---------------------------
(質問・続)
試験問題作成委員会様、××××様
ご回答ありがとうございます。
一度回答としてマークさせていただいたのですが、実際にALtool等を導入してBadPwdCountを確認しながら動作確認をした中で腑に落ちない点がありましたので再度確認させてください。
以下の動きは確認できました。
1.【DC2にログイン認証 → 失敗】×3
→ DC1(3):DC2(3) ※()内の数字はBadPwdCount
2.【DC2にログオン認証 → 成功】
→ DC1(0):DC2(0) ※()内の数字はBadPwdCount
3.【DC2にログオン認証 → 失敗】×2
→ DC1(2):DC2(2) ※()内の数字はBadPwdCount
確かに複製されているように見えます。
しかし以下のような事象ではBadPwdCountにずれが生じるようなのですが、これが正しい動作になるのでしょうか?
①【DC2にログイン認証 → 失敗】×3
→ DC1(3):DC2(3) ※()内の数字はBadPwdCount
②【DC1にログオン認証 → 成功】
→ DC1(0):DC2(3) ※()内の数字はBadPwdCount
③【DC2にログイン認証 → 失敗】×2
→ DC1(2):DC2(5) ※()内の数字はBadPwdCount
・PDCでログオン成功した場合、DCには値は複製されない。
・PDCの値を複製ではなく、DCでインクリメントしている。
この動作であれば問題は修正されていないような気がするのですが…
私の認識のズレ等あるのでしょうか
たびたび申し訳ございませんが、ご教授よろしくお願いいたします。
---------------------------
(回答)
こんにちは、フォーラムオペレーターの○○○○です。
少し私の方でフォローさせていただきますね。
試験問題作成委員会さんが案内されていたKB278299の内容についてですが、ロックアウトされたアカウントがリセットされた際の動作になりますので、今回検証された動作(認証が成功した場合の動作)とは異なのではと思われます。
なお、BadPwdCount がカウントされる動作は複雑ですので、もし検証されるのであれば、PDC を含めて 3 台以上で検証された方が良いと思います。
("PDC で認証が行われた場合の動作" "PDC 以外の DC で認証が行われた場合の動作" "それ以外の DC の動作" を確認する必要がありますので)
また、認証が失敗した際に場合によっては自動的に何度かリトライされる場合がありますので(一度の操作で BadPwdCount が 2 以上カウントされる場合がある)、「アカウントのロックアウトのしきい値」が 5 という設定はかなり厳しい設定となり、一度の認証失敗でロックアウトされる事もあり得ます。
(この辺の動作はパケットをキャプチャすると分かると思います)
補足です:
私が以前検証して確認出来た動作について記述させていただきます。
ロックアウトされたアカウントがリセット(ロックアウトが解除)された場合には、ロックアウトがリセットされた事が全ての DC 上に反映され全ての DC 上の BadPwdCount も 0 になるはずです。
(KB278299 に記載されている動作ですね。環境によっては反映されるまでに時間がかかる場合もあります)
認証が成功した場合は、認証が行われた DC 上と PDC 上の BadPwdCount が 0 になるはずです。
PDC 上で認証が行われた場合は、 PDC 上の BadPwdCount のみが 0 になるはずです。
その他の DC 上の BadPwdCount は変化しません。
(こちらが今回検証されていた動作ですね。注意点としては「ロックアウト カウンタのリセット」 を経過していた場合には動作が異なります)
パスワードを間違っていた場合の動作については、最初に ×××× さんが記載されていた内容になると思います。
それでは、こちらの情報が少しでもお役にたてれば幸いです。
---------------------------
パスワードの履歴についてはしたのような質問もあった。
(質問)
パスワードの履歴について
Windows 2008 SP2でドメインコントローラを構築しています。
グループポリシーでパスワードの履歴を5つ記録する設定で運用しています。
各ユーザーが保持しているパスワードの履歴を全てもしくは1つを消去する
方法はあるのでしょうか?
ご存知でしたら教えて下さい。
---------------------------
(回答)
○○○○です。
ユーザパスワード履歴の一部を人力で削除する、ということはできません。この動作はシステムが内部的にやっていることだからです。
たとえばパスワードの履歴を全部飛ばしたい、というなら、したのような設定で行うしかないでしょう。
■パスワードポリシーでパスワードの履歴を0にする。
■各ユーザに「次回ログオン時にパスワードを変更する」設定をONにする
うえのようにすれば、ユーザが次回パスワード変更時に、内部動作として過去のパスワードが全部消去される、のではないでしょうか。
[0回]
ワークグループ環境のサーバー時刻同期は難しい。
(質問)
時刻同期用バッチについて
Windows2003Serverをワークグループ環境で運用しています。
NTP先はインターネット先になるのですが
OS起動時に
w32tm /resync
コマンドを走らせ(スタートアップ)、時刻同期させたいと考えています。
上記コマンドをバッチ化して、ローカル(ドメイン環境のWindowsXP)で実行すると、時刻同期をせず
何度も上記コマンドが実行され続けてしまう状況となってしまっています。
(Dosプロンプト上で画面が流れ続けているような状態です)
環境が違う為に発生しているかもしれませんが、どなたか、適切なコマンドラインをご教授いただけないでしょうか。
情報不足かもしれませんが、宜しくお願い致します。
(回答)
○○○○です。
「ワークグループ環境の」Windows Srever 2003では、実はコンピュータの起動時毎に時刻同期を行うわけではありません。SpecialPollTimeRemainingというレジストリを起動時にチェックして(コンピュータの再起動に関係なく)「前回の同期時間からSpecialPollIntervalレジストリに設定された秒数たったら」時刻同期するよう、動作するのです。
うえに対するいちばん簡単な方法は、(うえの)SpecialPollIntervalレジストリで時刻同期しないよう、設定を変えることです。
これはw32tm /config /update /manualpeerlist:<NTPサーバ> /syncfromflags:manualコマンドを1回だけ手動で実行することです。こうすることで、コンピュータの起動時ごとに時刻同期を行うようになります。あとは[日付と時刻の設定]-[インターネット時刻]のところは触れないようにします(ここをいじると設定が以前のものに戻ることがあります)。
どうしてもワークグループ環境のままいきたい、というなら、ローカルポリシーの「シャットダウンスクリプト」で次のようなバッチファイルを設定するといいかもしれません。
net stop w32time
reg add HKLM\SYSTEM\CurrentControlSet\services\W32Time\TimeProviders\NtpClient /v SpecialPollTimeRemaining /t REG_MULTI_SZ /d "" /f
シャットダウン時にSpecialPollTimeRemainingを空に再設定することで、コンピュータの再起動時には必ず時刻同期を行うようになるはずです。
(参考:Windows Server 2008ワークグループ環境の時刻同期)
[0回]
Windows Vista以降はスクリーンセーバーロック仕様がWindows XPとは違う
(質問)
Windows7におけるスクリーンセーバー、アカウントロックの仕様について
社内PCのWindowsXPからWindows7への移行プロジェクトに携わっている者です。
現状のユーザー環境としましてはWindowsXP Pro SP3、移行後はWindows7 Pro、ドメインコントローラーはWindows Server 2003 Standard Edition SP2です。
ユーザーはDomain Users権限にて業務を行っています。
表題の件についてなのですが、現在XPの社内の端末についてはグループポリシーにて
・スクリーンセーバーのタイムアウト⇒300秒
・スクリーン セーバーをパスワードで保護する⇒有効
上記設定を有効にしており、ユーザーPCは
1)スクリーンセーバーに3Dテキスト等を設定していれば300秒後にロックがかかり、復帰にはログイン時のパスワードの入力が必要。
2)スクリーンセーバーを何も設定していなければ300秒経過しても何も画面に変化がない。
上記動作をしております。スクリーンセーバーの待ち時間(5分)、『パスワードによる保護(チェック有り)』はグレーアウトしている状態です。
Windows7への移行にあたりXPと同様の動作を実現したく、グループポリシーも同設定を行っており、正常に適応されているようなのですが、
スクリーンセーバーを無効にしていても300秒後にロックがかかってしまいます。
ただし、スクリーンセーバーが起動するのではなく、300秒後にログイン時のパスワード入力画面に切り替わります。
スクリーンセーバーの待ち時間(5分)、『再開時にログオン画面に戻る(チェック有り)』はグレーアウトしている状態です。
私の方で色々と調査をしたのですが、有効なグループポリシー設定項目が見つけれらず、また、以下のようなサイトを見つけました。
http://blogs.msdn.com/b/jpwin/archive/2009/10/20/windows7.aspx
これによると、どうもXPと7ではスクリーンセーバーの仕様が変更になっているようなのですが、何か回避策はありますでしょうか。
スタンバイやスリープモード等は全て無効にしております。
よろしくお願いします。
------------------------------------
(質問・続)
ご回答ありがとうございます。
クライアントが変更できるのは
①スクリーンセーバーの有無
②スクリーンセーバーの種類
上記2点のみにしたく、尚且つ
①を有りにすると5分後にスクリーンセーバーが起動し、パスワードによるロックがかかる。
①を無しにすると何分経ってもロックはかからない。
という動作を強制したいのですがWindows7の仕様(VISTAから?)では難しそうですね。。
運用ルールの再考の検討が必要かもしれません。
[0回]
プロフィール
カレンダー
カウンター
リンク
最新記事
最新コメント
最新トラックバック
カテゴリー
アーカイブ
ブログ内検索
リンク
忍者画像RSS
忍者AdMax
フリーエリア