※ 1809 以降は、設定->アプリ->アプリと機能->オプション機能の管理 でインストールできるようになりました。
→ Windows 10 October 2018 Updateで変わった、サーバ管理ツールRSATのインストール方法:Tech TIPS - @IT
出てたので。
8月 252015
4月 222013
ドメイン使用時、「このワークステーションとプライマリ ドメインとの信頼関係に失敗しました。」というエラーメッセージでログオンできなくなることがある。
上記通り、
- ローカルユーザーでログオン
- ドメインから脱退し、ワークグループに変更
- ドメインに再参加
という手順で対応可能。
3月 112013
あまりはっきり調べてないのでメモレベル。
- Missing: Group Policy > Internet Explorer Maintenance
- What’s New in Group Policy
- Appendix B: Replacements for Internet Explorer Maintenance
- Group Policy Settings in Internet Explorer 10
- Internet Explorer Administration Kit
どうやらIE10からはIEMやめてIEAKとか使おうぜって話みたい。
置き換えるのは良いとしても、メニュー自体が消えられると旧ポリシーの削除すらできなくなるので凄い困るんだけど…
おまけに一部資料が消えてて読めないっていう。
仕方がないのでIE10入ってない別PCからメンテした。。
2月 192013
参考リンク以上のことは特に調べていないけど、覚え書き。
モジュール有効化
LoadModule authnz_ldap_module modules/mod_authnz_ldap.so LoadModule ldap_module modules/mod_ldap.so
認証設定
AuthType Basic
AuthName "auth example"
AuthBasicProvider ldap
AuthLDAPUrl "ldap://domaincontroller.domainname.local:3268/DC=domainname,DC=local?sAMAccountName?sub?(objectClass=*)"
AuthzLDAPAuthoritative Off
AuthLDAPBindDn "domainuser"
AuthLDAPBindPassword "password"
Require valid-user
参考
basedn : 検索の起点となる識別名(DN)を指定します。
attribute : 検索対象の属性です。sAMAccountNameはWindowsのログイン名になります。
scope : 検索する深さを指定します。one(1階層のみ検索)またはsub(下位の階層も検索)です。
filter : 検索のLDAPフィルターです。(objectClass=*)となっているのでツリー上の全てのオブジェクトを検索します。
portをActiveDirectoryのグローバルカタログ(ポート3268)にすれば、basednでOUを指定しなくてもディレクトリ全体が検索範囲になることが分かりました。(グローバルカタログはフォレスト内の全ドメインの全オブジェクトから、ひんぱんに利用する属性のみを抽出したものです。)
Active Directoryでは、標準的な構成の場合認証前に権限のあるユーザで接続をしなければいけません。 そのユーザ名とパスワードをAuthLDAPBindDN、AuthLDAPBindPasswordで指定します。
require valid-user を指定するには、authz_user_moduleのロードとAuthzLDAPAuthoritative Offが必要。
require ldap-userとかならこれらは必要ない。
2月 142013
- OUを右クリック>表示>拡張機能 を有効にする
- OUを右クリック>[オブジェクト]タブ>誤って削除されないようオブジェクトを保護する を無効にする
- OUを右クリック>削除
2月 142013
- GPOを右クリック>編集>コンピューターの構成>ポリシー>Windowsの設定>セキュリティの設定>制限されたグループ を開く
- 「グループの追加」でDomain Usersを追加
- 「このグループの所属」にRemote Desktop Usersを追加
※Domain Controllerに関しては、既定ではRemote Desktop Usersでは接続できず、Administratorsのみ許可されている模様
2月 132013
How to refresh the Group Policy Settings on remote computers
基本的には設定された間隔で設定が更新されるが、手動で更新したい時もある。
どうやらPsExecを使ってgpupdateしろということらしい。
psexec \\ExamplePc gpupdate的な。
7月 312012
やってみたってだけ。
- 【連載】にわか管理者のためのActive Directory入門 (92) RENDOMコマンドを使ったドメイン名変更(前編) | エンタープライズ | マイナビニュース
- 【連載】にわか管理者のためのActive Directory入門 (93) RENDOMコマンドを使ったドメイン名変更(後編) | エンタープライズ | マイナビニュース
とりあえずrendom使ってこの手順で出来たけど、_msdcs.*ゾーンのコピーを行っていないのと、GPOの以降は最後にサラッと書かれてるだけ。
gpfixup /olddns:old.local /newdns:new.localとかやらないとグループポリシーが移行されない。
7月 312012
※あまり深く理解していないので手順だけ
It seems you have not connect to correct partition in ADSIedit.You need to check the correct zone.
It seems that the record is in DomainDNSzone if it is not in mentioned zon check others as well.
For DomainDNSZone refer below.
ADSI Edit-> Connect to -> choose Select or type a Distinguished Name or Naming Context -> type DC=DomainDNSZones, DC=domain, DC=local -> click OK -> CN= MicrosoftDNS->Domain.local
For ForestDNSZone refer below.
ADSI Edit-> Connect to -> choose Select or type a Distinguished Name or Naming Context -> type DC=ForestDNSZones, DC=domain, DC=local -> click OK -> CN= MicrosoftDNS->Domain.localLocate
._msdcs and delete the same.Restart the netlogon and dns service and check. If the
._msdcs is not present in above check below as well.
ADSI Edit->Domain, DC=domain, DC=local ->System–> CN= MicrosoftDNS->Domain.local
- _msdcs.*なゾーンを手動で作成した時に起きる
- adsiedit.mscでDomainDNSZoneとForestDNSZoneにあるGUID.msdcsな登録を削除してnetlogonを再起動すればおk
7月 302012
初回パスワード変更を強制する設定にしたままだと、ドメイン切り替え時にエラーが出て切り替えできないはず。
- Ctrl+Alt+Delを押下
- パスワードの変更を選択
- ユーザー名の欄に
username@example.localな感じでドメイン名含むユーザー名を入力 - 新旧パスワードを設定
これでドメインユーザーのパスワード変更が可能。
後は普通にドメインに変更してログオンすればおk。