[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。
このような質問が結構難しく、回答に困る。
(質問)
ネットワーク LAN セキュリティ インターネット接続について
家庭又はパソコンが10台程度のネットワーク LAN セキュリティ インターネット接続等のことがわかるようになりたいと思ったときどんな方法で勉強したらいいのでしょうか?できたらお金を掛けず、独学できる書籍があれば教えてください。宜しくお願いします。
(MVP回答その1)
xxxx MVP
難しい質問だなぁ・・・
現状のレベルはどれぐらいなんでしょう?
また、どのレベルまで行きたいのでしょう?
単にソフトの設定程度の話なのか、本格的な話なのか。
セキュリティとか難しいですよ。原理を知らないと無理ですから。
(ネットワークはあまり得意じゃない私が言ってもアレですが。)
本格的なことを知りたいというのであれば、基礎的なことからしっかり身につけないとダメだと思います。
(コンピューターのことを知らないのに、ネットワークとか無理。ネットワークのことを知らないのにネットワークセキュリティとか無理。みたいな)
>家庭又はパソコンが10台程度のネットワーク LAN セキュリティインターネット接続等
漠然としていますね。
いっそ基礎を身につけると言うことで「基本情報技術者試験」の試験勉強でもしてみては?
範囲を基礎・ネットワーク・セキュリティに絞って勉強してもいいし、試験を受ける気で勉強してもいいと思いますし。
>お金を掛けず
ネットで調べるだけでもかなりの知識を無料で得ることは出来ます。
あとは実践かなぁ?私は調べもって実践することで覚えていますね。
実践しないと理解できないことは多いと思います。
(Windowsの環境構築の実践はライセンスもあるので無料は難しいかなぁ。)
お金を掛けない分、苦労は掛かるかもしれません。
これVistaと関係あるのかなぁ?まぁVistaでも使う知識にはなると思いますけどね。
(MVP回答その2)
xxxx MVP
ネットワークセキュリティを学ぶには、先にネットワークに関する知識が必須になります。
拙著ですが、ネットワークエンジニアを目指す学生さんをターゲットに書いた本がありますので一度書店で立ち読みしてみてください。
「ネットワークの知識と実務」
定価 本体2,200円+税
ISBN978-4-7981-1380-7
翔泳社発行
http://www.amazon.co.jp/exec/obidos/ASIN/4798113808
ネットワークがある程度理解できても、ネットワークセキュリティはまた別物です。
ネットワークセキュリティの基本は、「脆弱性を無くす」と「不要なアクセスをブロックする」の2つになります。
1つ目の「脆弱性を無くす」は、Windows Update(Microsoft Update)を確実に適用していれば Microsoft 製品は大丈夫です。
Microsoft 製品以外のソフトウェアは、メーカーが提供するセキュリティパッチを確実に適用すれば脆弱性を無くすことができます。Adobe や Java は Windows Update と同様にインターネットでセキュリティアップデートが配布されていますが、インターネット配布をしていない製品に関しては、メーカーサイトを時々チェックしてセキュリティアップデートが出ていないか確認する必要があります。
2つ目の「不要なアクセスをブロックする」は、ファイヤウォール製品で制御することになります。
OS単体では、Vista の Windows ファイヤウォールがこれを担当しており、デフォルトで望ましい設定になるようになっています。(ユーザが意識して設定しなくてもセキュアに保たれるようになっています)
アクセスコントロールは多層防御をするのがセオリーなので、複数台のコンピュータを扱う企業ではファイヤウォール製品を使って、インターネットとLANの境界で1つ目の防御を入れるのが一般的です。
家庭用のブロードバンドルータも簡易的なファイヤウォール機能(ポート番号でのパケットフィルタリングや簡易的な方向制御)は持っていますが、ウィルスやサーバに対するSQLインジェクション等のアプリケーションレベルの攻撃には対処できませんし、製品によってはセキュリティ設定を自分で設定しないとデフォルトではセキュリティレベルが低い製品もありますので注意が必要です。
クライアントPCにはウイルス対策ソフトを導入するのが今や絶対条件です。企業ではこれに加え、ファイヤウォール製品で多重防御を実現しています。
脆弱性やセキュリティ情報は様々なサイトで発信されているので、そちらを定期的にチェックすれば今何が起きているかの情報を得ることができます。
僕がよくチェックしているのが JPCERT(http://www.jpcert.or.jp/)とMSのセキュリティポータル(http://www.microsoft.com/japan/security/default.mspx)です。JPCERTとMSはメールでの情報提供もしています。
MVP for xxxx
http://social.answers.microsoft.com/Forums/ja-JP/vistanetworkingja/thread/54ea662c-82b8-4b41-87d5-c6092f975db4
[0回]
ここまでの丁寧な回答は普通の人ではできない。
(その1)
数点確認ですが、
・どちらのPCを再インストールされたのでしょうか
・再インストール時にコンピュータ名を変更されましたか
・子格PCのネットワークには子格PCしか表示されないのでしょうか、それとも両方表示されるがクリックするとエラーになるのでしょうか
上記内容にもよりますが、確認ポイントとしては以下のようなものがあります。
1. [ネットワークと共有センター]で以下が有効であること
[ネットワーク探索]
[ファイル共有]
2. コンピュータの管理で以下のサービスが「開始」になっていること
[Computer Browser]
[Server]
[Workstation]
3. [ローカル エリア接続]のプロパティで以下がチェックされていること
[Microsoft ネットワーク用クライアント]
[Microsft ネットワーク用ファイルとプリンタ共有]
4. NetBIOS over TCP/IPが有効になっていることを確認
[ローカルエリア接続]のプロパティのTCP/IPv4のプロパティから[詳細設定]ボタンをクリックし、WINSタブの[NetBIOS 設定]が「無効」でないこと
5. ウィルス対策ソフトのパーソナルファイアウォールやWindowsファイアウォールでポート137や138がブロックされていないこと
(その2)
Windowsのネットワークでは、ネットワークにコンピュータを表示するまでと、実際に表示されたコンピュータをクリックしたあとの処理はまったく異なります。
NetBIOSを有効にしてネットワークに表示されたあと、表示されたコンピュータをクリックするとそのようなエラーが表示されますか?
「\\xxxxxxxxにアクセスできません。このネットワークリソースを使用するアクセス許可がない可能性があります。アクセス許可があるかどうかこのサーバーの管理者に問い合わせてください。ネットワークパスがみつかりません。」
「\\xxxxxxxxにアクセスできません。このネットワークリソースを使用するアクセス許可がない可能性があります。アクセス許可があるかどうかこのサーバーの管理者に問い合わせてください。ログオン失敗: ユーザーアカウントの制限。考えられる理由として、空のパスワードが許可されていない、ログオン時間制限、またはポリシーによる制限が適用された、などが挙げられます。」
などの具体的メッセージがあると、回答を得やすいと思います。
可能性が高い原因としてはアクセス許可がないということがあると思います。
この場合には手っ取り早い方法として、親格のPCに子格のPCのログオンに使用しているユーザー/パスワードでユーザーを作成する方法があります。
無条件にアクセスを許可したい場合には、共有ウィザードでEveryoneを許可するのが簡単な方法ですが、ドライブ丸ごと共有は共有ウィザードが使用できませんので設定方法が少し複雑になります。
[0回]
この投稿の意味はなんだろうか。
svchost の CPU 使用率が、常に 100% になってしまう。
2009年7月29日 2:23
svchost が常に実行されており、使用可能な CPU 容量をすべて使ってしまっているため、コンピューターの動作が常に遅くなっています。
このフォーラムで投稿されていた質問に対する回答で、マイクロソフトで問題を診断できるデータを取得する方法を見ました。
以下が収集したデータです。可能であれば、回答をお願いします。
PID 番号は 1176 です。
イメージ名 PID サービス
========================= ======== ============================================
System Idle Process 0 N/A
System 4 N/A
smss.exe 468 N/A
csrss.exe 580 N/A
wininit.exe 624 N/A
csrss.exe 632 N/A
services.exe 668 N/A
lsass.exe 684 KeyIso, ProtectedStorage, SamSs
lsm.exe 692 N/A
winlogon.exe 740 N/A
svchost.exe 904 DcomLaunch, PlugPlay
svchost.exe 964 RpcSs
svchost.exe 1068 Audiosrv, Dhcp, Eventlog, lmhosts, wscsvc
svchost.exe 1164 AudioEndpointBuilder, dot3svc, EMDMgmt,
hidserv, Netman, PcaSvc, SysMain, TrkWks,
UxSms, WdiSystemHost, WPDBusEnum, wudfsvc
svchost.exe 1176 AeLookupSvc, Appinfo, BITS, Browser,
CertPropSvc, EapHost, hkmsvc, IKEEXT,
iphlpsvc, LanmanServer, MMCSS, MSiSCSI,
ProfSvc, RasMan, Schedule, seclogon, SENS,
ShellHWDetection, Themes, Winmgmt, wuauserv
audiodg.exe 1300 N/A
svchost.exe 1328 gpsvc
SLsvc.exe 1348 slsvc
svchost.exe 1376 EventSystem, fdPHost, FDResPub,
LanmanWorkstation, netprofm, nsi, QWAVE,
SCardSvr, SstpSvc, W32Time, wcncsvc, WebClient
LBTServ.exe 1472 LBTServ
svchost.exe 1556 CryptSvc, Dnscache, KtmRm, napagent, NlaSvc, TapiSrv, Wecsvc
spoolsv.exe 1884 Spooler
svchost.exe 1924 BFE, DPS, MpsSvc
agrsmsvc.exe 388 AgereModemAudio
alg.exe 392 ALG
AppleMobileDeviceService. 476 Apple Mobile Device
aDefragService.exe 520 AshampooDefragService
mDNSResponder.exe 492 Bonjour Service
CDAC11BA.EXE 564 C-DillaCdaC11BA
dllhost.exe 660 COMSysApp
DfSdkS.exe 1044 DfSdkS
PresentationFontCache.exe 1568 FontCache3.0.0.0
fsssvc.exe 2312 fsssvc
GoogleUpdaterService.exe 2324 gusvc
ijplmsvc.exe 2476 IJPLMSVC
iWinTrusted.exe 2496 iWinTrusted
McSACore.exe 2524 McAfee SiteAdvisor Service
mcods.exe 2544 McODS
rundll32.exe 2556 N/A
McProxy.exe 2568 McProxy
Mcshield.exe 2608 McShield
MpfSrv.exe 2676 MpfService
msdtc.exe 2932 MSDTC
svchost.exe 3272 PolicyAgent
dwm.exe 3336 N/A
explorer.exe 3360 N/A
defragMonitorService.exe 3456 N/A
defragActivityMonitor.exe 3576 N/A
BJMYPRT.EXE 3592 N/A
mcagent.exe 3600 N/A
ACDaemon.exe 3640 N/A
defragTaskBar.exe 3760 N/A
fsui.exe 3860 N/A
PSIService.exe 3936 ProtexisLicensing
DAP.exe 4084 N/A
svchost.exe 1132 SDRSVC
msnmsgr.exe 2184 N/A
taskeng.exe 2288 N/A
GoogleToolbarNotifier.exe 772 N/A
btdna.exe 2300 N/A
SeaPort.exe 3180 SeaPort
snmptrap.exe 3124 SNMPTRAP
svchost.exe 3404 stisvc
UI0Detect.exe 3492 UI0Detect
vds.exe 3660 vds
VideoAcceleratorService.e 3308 VideoAcceleratorService
VideoAcceleratorEngine.ex 3676 N/A
VSSVC.exe 1116 VSS
svchost.exe 3428 WcsPlugInService
WmiApSrv.exe 3688 wmiApSrv
SearchIndexer.exe 4024 WSearch
WUDFHost.exe 4112 N/A
MgApp.exe 4120 N/A
WmiPrvSE.exe 4344 N/A
mcmscsvc.exe 4384 mcmscsvc
taskeng.exe 5356 N/A
mcsysmon.exe 5400 McSysmon
ImApp.exe 5816 N/A
unsecapp.exe 5896 N/A
wlcomm.exe 6088 N/A
McNASvc.exe 5104 McNASvc
IncMail.exe 4640 N/A
ieuser.exe 1588 N/A
iexplore.exe 6116 N/A
cmd.exe 2168 N/A
taskeng.exe 4620 N/A
tasklist.exe 616 N/A
WmiPrvSE.exe 2484 N/A
マイクロソフト株式会社 フォーラムオペレーター XXXX
こちらの[Country] のフォームから [Australia] をクリックします。
sbcap@msdirectservices.com からも顧客サービス担当者に連絡できます。
問題が解決できることを願っております。
---------------------------------------------------------------------------------
※日本版Answersの開設にあたって、質問方法、回答方法などの参考にしていただければと、US版Answersの投稿を元に作成させていただきました。
いきなり[Australia] とか出てきてごめんなさい・・・
元のスレッドでは、新しいユーザーを作成したり、スタートアッププログラムのない状態で起動してみたり、マルウェアのスキャンをしてみたりなど、かなり情報のやりとりがあったのですが、最終的には、復元ディスクで出荷時状態に戻すしかないのではということになり、このような回答になっています。
現象によっては、復元や再インストールしか方法がないという結果や、またボランティアをベースにしたコミュニティでは解決が難しい場合も大いに考えられまして、その時はサポート窓口を案内させていただく場合もありますが、なにとぞご理解いただければと思っております!
引用元:http://social.answers.microsoft.com/Forums/en-us/vistaperformance/thread/e08cbae3-e7c8-4832-98ca-cc1060a26ccc
マイクロソフト株式会社 フォーラムオペレーター XXXX
[0回]
実はしたのような質問が一番難しく回答に困る。
2009年8月28日 8:49 XXXX
Process(プロセス名)\Virtual Bytes
Process(_Total)\Virtual Bytes
しかし、上記「Process(_Total)\Virtual Bytes」と「タスクマネージャでのコミットチャージの合計値(PF使用量)」が一致しません。
そもそも「Process(_Total)\Virtual Bytes」とタスクマネージャでのコミットチャージの合計値に関連性はないのでしょうか?
どちらの値を見れば現在使用している仮想メモリ領域を確認ができるのでしょうか。
「Process(_Total)\Virtual Bytes」の値がはるかに大きな値となっておりますが、「タスクマネージャコミットチャージの合計値」として算出する値から余分なものが含まれているのでしょうか。
[環境]
Windows XP SP2
RAM:1.95G
仮想メモリ領域: 初期値2046MB 最大サイズ4092MB
ある時点での値
Process(_Total)\Virtual Bytes:5,908,420KB
タスクマネージャコミットチャージの合計値:1,346,996KB
知識不足で申し訳ございませんが宜しく願いします。
http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2003ja/thread/da8f76b7-906f-4192-8ce4-72764f90f1b7
[0回]
長文のエラーログを読みとるだけで頭が痛くなるが(結論)はあっけなかった。
(質問)
グループ ポリシーの処理に失敗しました。ドメイン コントローラ名を取得できませんでした。などと出てしまう。
xxxxです。
windows server 2008でDNSは動いているのですが、Active Directory のドメインが落ちてしまいます。
DNSのツールは開きました。Active Directoryとグループポリシーの管理のツールはエラーで開きません。
起動後は問題なのですが、何日かすると下記のようなエラーが出てしまいます。
構成はwindows server 2008が2台で、片方(Aサーバー)はドメインのみ、もう片方(Bサーバー)はファイルサーバーとドメインです。エラーが出るのはBサーバーのほうです。
下記のようなエラーが出ます。
-----
ログの名前: System
ソース: Microsoft-Windows-GroupPolicy
日付: 2009/06/02 10:33:33
イベント ID: 1054
タスクのカテゴリ: なし
レベル: エラー
キーワード:
ユーザー: SYSTEM
説明:
グループ ポリシーの処理に失敗しました。ドメイン コントローラ名を取得できませんでした。名前解決の失敗が原因と考えられます。ドメイン ネーム システムが構成され正しく動作しているか確認してください。
----
ログの名前: System
ソース: BROWSER
日付: 2009/06/02 10:37:49
イベント ID: 8021
タスクのカテゴリ: なし
レベル: 警告
キーワード: クラシック
ユーザー: N/A
説明:
ブラウザ サービスは、ブラウザ マスタ \\Aサーバー (ネットワーク \Device\NetBT_Tcpip_{xxx-xxx-xxx-xxx-xxx}) からサーバー一覧を取得できませんでした。
ブラウザ マスタ: \\Aサーバー
ネットワーク: \Device\NetBT_Tcpip_{xxx-xxx-xxx-xxx-xxx}
このイベントはネットワーク接続の一時的な損失により起こった可能性があります。このメッセージが再び表示される場合は、サーバーがネットワークにまだ接続されていることを確認してください。リターンコードはデータ テキスト ボックスにあります
---
ログの名前: System
ソース: NETLOGON
日付: 2009/06/02 10:42:13
イベント ID: 5719
タスクのカテゴリ: なし
レベル: エラー
キーワード: クラシック
ユーザー: N/A
説明:
次の理由のため、このコンピュータはドメイン のドメイン コントローラの セキュリティで保護されたセッションをセットアップできませんでした:
RPC サーバーを利用できません。
これにより、認証の問題が発生する可能性があります。このコン ピュータがネットワークに接続されていることを確認してください。 問題が解決されない場合は、ドメイン管理者に問い合わせてください。
追加情報
このコンピュータが指定されたドメインのドメイン コントローラの場合は、 指定されたドメインのプライマリ ドメイン コントローラ エミュレータに対して安全なセッションをセットアップします。そうでない場合は、このコンピュータは、 指定されたドメインのすべてのドメイン コントローラに対して安全なセッション をセットアップします。
---
ログの名前: System
ソース: Microsoft-Windows-GroupPolicy
日付: 2009/06/02 10:43:39
イベント ID: 1030
タスクのカテゴリ: なし
レベル: エラー
キーワード:
ユーザー: SYSTEM
説明:
グループ ポリシーの処理に失敗しました。このユーザーまたはコンピュータの新しいグループ ポリシー設定を取得しようとしました。エラー コードと説明については、[詳細] タブを参照してください。次の更新サイクルで自動的にこの操作が再試行されます。ドメインに参加しているコンピュータの新しいグループポリシー オブジェクトと設定の検出には、適切な名前解決とドメイン コントローラへのネットワーク接続が必要です。グループ ポリシーが正常に処理されると、イベントが記録されます
---
ログの名前: System
ソース: BROWSER
日付: 2009/06/02 10:52:20
イベント ID: 8032
タスクのカテゴリ: なし
レベル: エラー
キーワード: クラシック
ユーザー: N/A
コンピュータ: MFSV01.SHOTOKU.local
説明:
ブラウザ サービスがトランスポート \Device\NetBT_Tcpip_{xxx-xxx-xxx-xxx-xxx} でバックアップ一覧の取得に失敗した回数が多すぎます。 バックアップブラウザを停止しています。
---
が出てしまいます。申し訳ないですが、わかる方がいたらお願いします。
--------------------------
(MSFT回答)
xxxx- さん、こんにちは。フォーラムオペレーターのyyyyです(^O^)/
ご投稿いただいた現象ですが、起動して何日かすると発生する現象ということで、原因特定が難しそうですね・・・
何か参考になる情報がないかなと探したところ、USのForumに、似ているかも?という現象の投稿を見つけたので、参考までに紹介させていただきますね。
(ただ、明確な回避方法はなさそうな感じのスレッドです・・・)
Domain Controller Issue - SOS!
http://social.technet.microsoft.com/Forums/en-US/winservergen/thread/5f61fc42-6fdb-4099-8da6-cb5f1f309268
Windows 2008 dropping off the network
http://social.technet.microsoft.com/Forums/en-US/winservergen/thread/84810ea6-fa4d-4acc-bda8-7c55af841a73
投稿された範囲の情報ですが、「Domain Controller Issue - SOS!」のほうは、イベントID:5719、「Windows 2008 dropping off the network」のほうは、イベントID:1030、1054が出力されていて、どちらも、起動してしばらくしてから、複数あるDCのどちらかでエラーが出てきたり(それも名前解決できない感じのエラー)、ADのコンソールが起動しなかったりという現象のようで、xxxx- さんの現象とちょっと似ていて気になるかなと思いました。
英語なので、細かいニュアンスを理解しきれないところがあるのですが、「Domain Controller Issue - SOS!」のほうは、スレッドの最後の方でネットワークカードのドライバを更新してどうか?という投稿がありまして、ただ、それで解決したかは書いてなくて不明です。。。
「Windows 2008 dropping off the network」のほうは、最終的にはサポートで解決できたようですが、やはり具体的な回避策は書いてありませんでした。。。
いまひとつ参考にならない情報しか見つけられなくて・・・お力になれずごめんなさい。
ただスレッドの途中に、情報のリンクなどがありますので、そちらが何か参考になるかもしれません。よろしければ一読してみてください。
どちらの質問者さんも、詳細なログを取得してサポートに問い合わせをして解決に至っているようですし、現象からいっても、正直Forumのような場ではなかなか解決が難しいかな・・・という印象もあります。可能であれば、サポートへの問い合わせも検討してみてください。ご参考となれば幸いです!
--------------------------
(MVP回答)
ZZZZです。
NETLOGON イベント ID 5719 が記録される場合、ドメインコントローラの "セキュリティチャネル(セキュアチャネル)" の構築が失敗しているケースが多いです。
セキュリティチャネルは、コンピュータ起動時にドメインコントローラとの間で作られる暗号化セッションで、コンピュータアカウントで認証を行って作成されます。コンピュータアカウントのパスワードに問題があると、この暗号化セッションが作成できず、RPC エラーなどが記録されます。これはドメインコントローラ間であっても同様です。
したの資料などを見て、ドメインコントローラのコンピュータアカウントパスワードのリセット、などを検討してはどうでしょうか。しかし、状況がはっきりわからない、確実に修正したい、ということであれば MSFT xxxxさんのコメントどおり、MS の有償サポートに依頼した方がいいかもしれませんね。
http://support.microsoft.com/kb/325850/ja
--------------------------
(結論)
ネットワークカードのドライバーを更新して、SP2を入れて、IPをしたいしなおしたら、落ち着いたみたいです。
[0回]
最近は仕事が忙しく、疲れているのでフォーラムへの回答はまともにできません。当分は自分のブログにコメントするにとどめる。
(質問)
ご回答ありがとうございます。
記載頂いたURLは構築時にも参考にさせて頂きました。
LDAPSクエリーが「スキーマクラスが見つかりません」というエラーが返されるようなった件は、
現状NagiosのLDAP監視モジュールを使用し、アノニマスユーザでのバインドを実施しているようです。
しかし、2003からはアノニマスが禁止されているという話を聞いたことがあり、
Nagiosの設定でバインドユーザを指定できるのか確認中です。
DC自体は正常に稼動しており、LinuxからのLdapserachコマンドでもアカウントを引けることを確認しました。
お騒がせしました。
同じ用件で、以下で1点質問させてください。
<質問>
ADPREPコマンドを実行した場合、既存スキーマが拡張されると思います。
この「拡張」によって、どのようなスキーマ情報が増えて、どの既存スキーマ情報が
変更されているのでしょうか。
※一覧などの資料として提供されていれば、助かるのですが。。。。。
<質問経緯>
今回移行させたDCに対してアカウント情報追加で連携しているJavaアプリケーションがあり、LDAPSで接続されます。
Windows2000のDCで存在する既存スキーマに変更が生じた場合、アプリケーションの改修が発生する場合があります。
adsieditツールを使用して、スキーマ情報をCSV形式でエクスポートさせてAdprep実行前後で比較したところ、
かなりの数のスキーマが追加・変更されていることが判明しました。
現在、この連携アプリケーションはDCと正常に連携できており、緊急に対応する必要はありません。
しかし、”今はスキーマ拡張された情報をインポートしていないだけでは?”という不安もあり、
スキーマの拡張情報の精査は行っておきたいと考えております。
以上、宜しくお願いします。
(MSFT氏の回答)
こんにちは、フォーラムオペレーターのXXXXです。
拡張されるスキーマについて、私の方でも調べてみましたが、残念ながら一覧といった形での公開情報は見当たりませんでした。
ただ、少しお手間はかかると思いますが、以下の方法で拡張されるスキーマの内容が確認出来るのではと思われますので、その方法をご紹介させていただきますね。
- 確認方法
----
Windows Server 2003 R2 の場合であれば、インストール CD-ROM Disk2 の "CMPNENTS\R2\ADPREP" フォルダにある、LDF ファイルをもとにスキーマの拡張が行われます。
ファイル名:"SCHxx.ldf"
xx は 14 ~ 31 までの番号になります。
この "SCHxx.ldf" ファイルを notepad などで開いて、ADPREP 実行時に拡張されるスキーマの内容を確認してください。
なお、"changetype" の値で、変更されるのか、追加されるのかが確認でき、"objectClass" の値で、クラスなのか、属性なのかが確認出来ます。
・changetype: ntdsSchemaModify ・・ 変更
・changetype: ntdsSchemaAdd ・・ 追加
・objectClass: classSchema ・・ クラス
・objectClass: attributeSchema ・・ 属性
----
- 参考資料
Windows の管理 Active Directory スキーマを拡張する
http://technet.microsoft.com/ja-jp/magazine/2008.05.schema.aspx
Windows 2000 のドメインまたはフォレストに Windows Server 2003 ドメインコントローラを追加するときに Adprep.exe ユーティリティで実行される処理
http://support.microsoft.com/kb/309628
それでは、こちらの情報が少しでもお役にたてれば幸いです!
(MVP氏の回答)
xxxxです。
どうでもいいかもしれない、参考情報をお知らせしますね。
Windows Server 2008 で adprep.exe を実行した場合、どんな動作をするか、についての細かい情報は、いちおう MS さんのページにありますね。
Windows Server 2008: Appendix of Changes to Adprep.exe to Support AD DS
うえの情報では、adprep を実行した際に、フォレストレベルではどう変更が入るか、ドメインレベルでの同様な変更、ldf ファイルでのスキーマアップデートの内容、なんかがあるみたいです。Windows Server 2008 R2 もありますので、興味のある方はチェックいただくといいかもしれないですね。
http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/19500177-92e4-432a-a875-dc4183d432f4
[0回]
暇なら丁寧に回答する。時間がなければ2~3行の回答で済ます。気分次第ってところはあります。
>ローカルディスクのフォーマットの権限を一般ユーザ(Interactive Users)まで落とす方法はないでしょうか?
についてですが、私が調べた結果ではありませんでした。(他の回答者よりの回答を待ってください。)
http://www.asahi-net.or.jp/~ym3y-oksm/nt/w2k/w2k29.htm
たとえば、うえによると(他にもWEB検索するとありましたが)MOなどのリムーバルディスクは、セキュリティオプションをいじりInteractive Usersまでフォーマット権限を落とせるとありました。ローカルディスクの初期化については「セキュリティオプション」ではいじれないようです。(「ユーザー権利の割り当て」にもローカルディスクの初期化を定義したものはありませんでした。)
ローカルディスクのフォーマットの権限は、Microsoft管理コンソール(MMC)のヘルプを調べてみると
(以下一部抜粋しました)
新しいディスクを初期化するには
・
・
注
この手順をローカルコンヒュータで実行するには、ローカルコンピュータのBackup OperatorsグループまたはAdministratorsグループのメンバであるか、または適切な権限が委任されている必要があります。この手順をリモートで実行するにはリモートコンピュータのBackup OperatorsグループまたはAdministratorsグループのメンバである必要があります。ドメインに参加しているコンピュータではDomain Adminsグループのメンバーがこの手順を実行できる場合があります。
・
・
しかし実際は、Backup Operatorsグループでは初期化できないローカルディスクがほとんどのようです。
>一般ユーザを管理者権限にあげると他の部分のセキュリティーに影響するため
とのことでしたら、ローカルディスクのフォーマット作業を行わせる必要のある一般ユーザをローカルの「Administrators」グループの権限を一時的に与えるか、ドメインコントローラで「Active Directoryユーザとコンピュータ」を立ち上げそのユーザを一時的にドメインの「Domain Admins」グループに所属させる、ローカルディスクのフォーマット作業が終わったらローカルの「Administrators」グループ、「Domain Admins」グループの権限を削除されるのがよろしいかと思います。
ローカルディスクのフォーマット作業を行う必要のある一般ユーザは、そう沢山必要ではないんですよね。
沢山必要でしたらドメインコントローラで「Active Directoryユーザとコンピュータ」を立ち上げ、必要のあるユーザを複数選択して「操作」→「グループに追加」→「Domain Admins」グループに一時的に所属させる、または「Users」フォルダ→「Domain Admins」のプロパティ→「メンバ」→「所属するメンバ」にユーザをひとつづつ追加していく。(権限を与えたユーザをグローバルグループにまとめる方法もありますが)ローカルディスクのフォーマット作業が終わったら、「Domain Admins」グループからそのユーザを削除されるのがよろしいかと思います。
しかし、そのローカルディスクのフォーマット作業が仕事の一部であれば、やはり業務上必要なユーザーにのみにローカルの「Administrators」グループの権限を与える、またはドメインの「Domain Admins」グループの権限を与えその仕事をさせるべきでしょう。
[0回]
プロフィール
カレンダー
カウンター
リンク
最新記事
最新コメント
最新トラックバック
カテゴリー
アーカイブ
ブログ内検索
リンク
忍者画像RSS
忍者AdMax
フリーエリア