きめ細かいパスワードポリシー（７０－６４０）

実務ではここまで複雑なことをすることはないと思うが・・・。

（問題）

ドメインのパスワード設定オブジェクト（PSO）を評価したところ、Help DeskグループにリンクされたPSO1の優先順位が1になっていました。SupportグループにリンクされたPSO2の優先順位は99です。Mike Danseglioは、Help DeskおよびSupportグループのメンバです。2つのPSOが、Mikeに直接リンクされていることに気付きました。PSO3の優先順位は50で、PSO4の優先順位は200です。どのPSOがMikeのPSOの結果となりますか。

 

(1).PS０1

(2).PSO2

(3).PSO3

(4).PSO4

 

（回答）

(3).PSO3

ユーザーオブジェクトとユーザーが所属しているグループの両方に異なるPSOがリンクされている場合は、ユーザーオブジェクトにリンクされているPSOだけが使用される。

 

（ポイント）

きめ細かいパスワードポリシー（PSO）の実装

・PSO設定に専用ツールはないので、ADSIエディタまたはLDIFDEを使用する

・PSOはユーザーまたはグローバルグループにのみ適用できる

・ドメイン機能レベルがWindows Server 2008でなくてはいけない

 

公式ページ

http://technet.microsoft.com/ja-jp/library/cc770394(WS.10).aspx

参考ページ

http://www.atmarkit.co.jp/fwin2k/winsv2008/06ad_01/06ad_01_02.html

赤本・青本（７０－６４０）

Windows Server 2008 Active Directoryの基礎を学ぶにはこの２冊は一通り読んでおく必要があると思います。単にMCP試験のためだけでなくサーバー管理の実務に必要な知識がまとめられています。WEB検索すると、あるブログには青本（右側の写真）の模擬試験内容はひねくれている・応用編のようだなどとのコメントもありました。実際の試験は青本の模擬試験ほど難しくはないようです。

最新のＯＳの組み合わせに関する難問

Windows Server 2008 R2 、Windows 7、Windows Vistaと最新のＯＳの組み合わせに関する難問である。まだ情報やKBは無いだろう。

 

（質問）

コンピュータからなるセキュリティグループをセキュリティフィルタに指定した場合、"Windows 7"と"Windows Vista(SP1)"でGPO適用のされ方が違うのでしょうか？

 

コンピュータ構成に適用するGPOに対して、

セキュリティフィルタを"Authenticate Users"に代えて、

コンピュータからなるセキュリティグループを指定した場合、

"Windows 7"と"Windows Vista(SP1)"で適用のされ方が違うのでしょうか？

 

コンピュータを構成するための同じGPOを、

"Windows 7"と"Windows Vista(SP1)"に適用しようとして、以下のように

"Windows 7"では拒否されて、"Windows Vista(SP1)"では適用できています。

 

気になるのは、"Windows Vista(SP1)"の場合、

一連のコンピュータからなるセキュリティグループ"BC-ClientComputers"が

認識されているのに、"Windows 7"の場合はそれが見えないことです。

(※の箇所)

 

環境としては、以下のようにしています。

ドメインコントローラー/GPO管理  ：  Windows Server 2008 R2

クライアントコンピュータ        ：  Windows 7 Ulitimate

                                    Windows Vista SP1

GPOで構成している項目           ：  コンピュータの構成に関するもののみ

　　　　　　　　　　　　　　　　　　→　BranchCacheのクライアント構成に必要な項目

 

情報またはアドバイスをお願いいたします。

 

 

【Windows7】

＞RSOP のデータ BC-Win7RTM-CL01\Administrator - BC-WIN7RTM-CL01 : ログ モード

＞----------------------------------------------------------------------------

＞

＞OS 構成:                     メンバー ワークステーション

＞OS バージョン:               6.1.7600

＞サイト名:                    Default-First-Site-Name

＞移動プロファイル:             N/A

＞ローカル プロファイル        C:\Users\Administrator

＞低速リンクで接続: いいえ

＞

＞

＞コンピューター設定

＞-------------------

＞    CN=BC-WIN7RTM-CL01,CN=Computers,DC=BranchCache,DC=com

＞    前回のグループ ポリシーの適用時: 2010/02/16 (19:42:07)

＞    グループ ポリシーの適用元:       BC-WS08R2RTM-MO.BranchCache.com

＞    グループ ポリシーの低速リンクのしきい値:   500 kbps

＞    ドメイン名:                        BRANCHCACHE

＞    ドメインの種類:                        Windows 2000

＞

＞    適用されたグループ ポリシー オブジェクト

＞    -----------------------------------------

＞        Default Domain Policy

＞

＞    次の GPO はフィルターで除外されたため適用されませんでした。

＞    ------------------------------------------------------------

＞        BranchCache(DC) Client Computers

＞            フィルター: 拒否 (セキュリティ)

＞

＞        ローカル グループ ポリシー

＞            フィルター: 未適用 (空)

＞

＞    システムは次のセキュリティ グループの一部です

＞    ---------------------------------------------

＞        BUILTIN\Administrators

＞        Everyone

＞        BUILTIN\Users

＞        NT AUTHORITY\NETWORK

＞        NT AUTHORITY\Authenticated Users

＞        This Organization

＞        BC-WIN7RTM-CL01$

＞        Domain Computers

＞        System Mandatory Level

 

【Vista】

＞RSOP のデータ BC-VistaSP1CL01\Administrator - BC-VISTASP1CL01 : ログ モード

＞----------------------------------------------------------------------------

＞

＞OS 構成:                     メンバ ワークステーション

＞OS バージョン:               6.0.6001

＞サイト名:                    Default-First-Site-Name

＞移動プロファイル:             N/A

＞ローカル プロファイル        C:\Users\Administrator

＞低速リンクで接続: いいえ

＞

＞

＞コンピュータ設定

＞-----------------

＞    CN=BC-VISTASP1CL01,CN=Computers,DC=BranchCache,DC=com

＞    前回のグループ ポリシーの適用時: 2010/02/16 (21:05:12)

＞    グループ ポリシーの適用元:       BC-WS08R2RTM-MO.BranchCache.com

＞    グループ ポリシーの低速リンクのしきい値:   500 kbps

＞    ドメイン名:                        BRANCHCACHE

＞    ドメインの種類:                        Windows 2000

＞

＞    適用されたグループ ポリシー オブジェクト

＞    -----------------------------------------

＞        Default Domain Policy

＞        BranchCache(DC) Client Computers

＞

＞    次の GPO はフィルタで除外されたため適用されませんでした。

＞    ----------------------------------------------------------

＞        ローカル グループ ポリシー

＞            フィルタ: 未適用 (空)

＞

＞    システムは次のセキュリティ グループの一部です

＞    ---------------------------------------------

＞        BUILTIN\Administrators

＞        Everyone

＞        BUILTIN\Users

＞        NT AUTHORITY\NETWORK

＞        NT AUTHORITY\Authenticated Users

＞        This Organization

＞        BC-VISTASP1CL01$

＞        BC-ClientComputers        ←  ※

＞        Domain Computers

＞        System Mandatory Level

 

http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/0e9ea351-ceda-4a30-9eb1-aa5c62d999de

 

Windows Server 2008フォーラム、実機操作が必要な意外と難しい質問

実機を操作し、検証してみないと回答できない意外と難しい質問

 

（質問）

フォルダの削除を禁止するアクセス権について

 

NTFSアクセス制御について教えてください

 

NTFSアクセス制御で以下の要件を満たすにはどう設定すればよいのでしょうか？

 

<管理者>(administrators)

  AフォルダおよびAフォルダ以下のフルコントロール

 

<一般ユーザ>(users)

  Aフォルダ自身の削除は行えない

  Aフォルダの下はフルコントロール

 

フォルダ構造は以下の通りです

C:.

├─A

│  └─A1

 

 

Aフォルダのアクセス許可エントリの詳細設定で、Usersのアクセス許可を開き

"適用先"を「このフォルダーのみ」で、削除を拒否（それ以外許可）したのですが

user1でAフォルダが削除できてしまいます

 

http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2008ja/thread/42b36f2f-4fa7-4348-b1e3-20215754ca11

 

Windows Server 2008フォーラム、2008 ADのDNSの不可解なところ

Winsows Server 2008 ADのDNSは不可解である。インターネット接続、コンピュータ検索・ファィル検索、ディレクトリ検索等すべて問題ないのに・・・

 

（質問）

Windows 2008のDNSについて

 

Windows2008 SP2で2台のドメインコントローラを構築しています。

2台ともにDNSをインストールし、ActiveDirectory統合で構築しました。

 

2台のドメインコントローラのコンピュータ名を下記とします。

test1.test2010.test.co.jp

test2.test2010.test.co.jp

 

nslookupでホスト名を検索すると正常に検索されます。

nslookup test1

サーバー: localhost

Address: 127.0.0.1

 

名前: test1.test2010.test.co.jp

Address: 10.1.70.1

 

 

nslookupでFQDNで検索するとtime outになりますが、検索されます。

nslookup test1.test2010.test.co.jp

サーバー: localhost

Address: 127.0.0.1

 

DNS request timed out.

       timeout was 2 seconds.

DNS request timed out.

       timeout was 2 seconds.

 

名前: test1.test2010.test.co.jp

Address: 10.1.70.1

 

time outになるのが正常なのでしょうか、それとも設定に誤りがあるのでしょうか？

 

ご教授お願いします。

 

http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/5b424f19-d089-4892-8cab-35f9a777ed56

 

他にしたにも似たような投稿もありました。

http://oshiete1.goo.ne.jp/qa1538955.html

http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=17203&forum=6&start=8

http://fedorasrv.com/bbshtml/webforum/B0000380.shtml

http://kajuhome.com/cgi-bin/patio/patio.cgi?mode=view&no=1241&p=4

このような試験問題は自分で検証するとよく分かる（７０－６４０）

この方法は滅多に使うことはないと思うが・・・。自分で検証してみるとよく分かる。

（問題）

contoso.comドメインには、Clients OUにリンクされたCorporate Help DeskというGPOと、Clients OU内のSydney OUにリンクされたSydney SupportというGPOがあります。Corporate Help Desk GPOでは、Administratorsグループ用の制限されたグループの［このグループのメンバ］に、CONTOSO￥Help Deskが指定されています。Sydney Support GPOでは、Administratorsグループ用の制限されたグループの［このグループのメンバ］に、CONTOSO￥Sydney Supportが指定されています。ドメインに参加しているDESKTOP234という名前のコンピュータは、Sydney OUにあります。次のどのアカウントが、DESKTOP234のAdministratorsグループのメンバになりますか。（当てはまる選択肢をすべて選びます）

 

（回答）

Administrator

Sydney Support

 

公式KB・公式ページ

http://support.microsoft.com/kb/279301/ja

http://technet.microsoft.com/ja-jp/library/cc785631(WS.10).aspx

（参考投稿）

http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=16593&forum=6

http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=21674&forum=6&start=8

 

このような試験問題はMSのKBを検索してその根拠をつかむ（７０－６４０）

回答の根拠が分からないと面白くない。

（問題）

あなたは、Contoso社の管理者です。contoso.comドメインには、2つのサイトがあります。本社では、SERVER01という名前のドメインコントローラがグローバルカタログ（GC）サーバーと、5つすべての操作マスタの役割を実行しています。本社には、SERVER02という名前のドメインコントローラもあります。SERVER02は、GCではなく、操作マスタの役割も実行していません。支社にあるSERVER03という名前のドメインコントローラは、GCサーバーです。どの操作マスタの役割を変更する必要がありますか。

 

（回答）

インフラストラクチャマスタをSERVER02に転送する。

 

参考KB

http://support.microsoft.com/kb/223346/ja

>一般的な規則として、インフラストラクチャ マスタはフォレスト内、できれば同じ Active Directory サイト内で、グローバル カタログへの直接接続オブジェクトを持つ非グローバル カタログ サーバー上に配置する必要があります。