NT-FAQ-J:521

システム・管理編 - システム管理 - セキュリティー

  1. PDCや BDCのマシンでは,ログオン時にログオン先に自分自身のコンピュータ名がでません。どうしてですか? 
    仕様でしょう。
PDCやBDCはドメインを作り出しているマシンということで,
個性はない?という具合に解釈しておきましょう。
(ローカルアカウントは持てない)
  2. PDCがストップしました。幸いにも BDCが用意してありましたが,実際には認証に時間がかかって,実用的ではありません。どうすればよいでしょうか? 
    サーバマネージャを使って,BDCをPDCに昇格してください。
その後,旧PDCが復活した場合には,
PDCをBDCとして動作させ、正常動作後PDCに昇格させます。
  3. BDCではなくServerのまま,ドメインに参加する意義はありますか? 
    ドメインに属さないローカルアカウントやローカルグループを
作る事ができますので,ドメインとは無関係にそのマシン固有の
サービス用アカウントが欲しい場合には,ローカルアカウントの
存在がかえって管理の手間を省く事になります。これを,
グローバルアカウントのみでやると,普通のユーザより権限が
強くなりすぎないようするのが,結構厄介です。
  4. PDCや BDCと,Serverでは何が違うのでしょうか? 
    単なるサーバはPDCやBDCになれない,また,
サーバはマシン固有のローカルアカウントを持つ事ができる,
という点が異なります。
また,RASの場合にはBDC(PDC)でないとドメイン全体の資源を使う事が出来ません。

それ以外のサービスに関しては,まったく同じです。
ただ,共有プリンタやインターネット関連サービスを単なるサーバで
稼動させている場合,ローカルアカウントの存在を忘れると結構はまります。

# グローバルにあるログオン名はローカルで付けないようにした方がよいでしょう。
  5. PDCや BDCでサービス(ファイルサーバ,プリントサーバ,その他)を行って構いませんか? 
    構いません。

ただし,PDCやBDCにはユーザ認証等でネットワークの負荷がかなりかかります。
本来のサービスもPDCやBDCがあって初めて利用できるものなので,
ネットワークの規模に合わせて,マシンを増やし負荷を分散させる必要があります。
  6. NTのドメインで信頼関係を結ぼうとしているのですが、何か気をつける事はありますか? 
    ドメインの信頼関係を作成する場合には、まず信頼される側の設定を
行なってから、信頼する側の設定を行いましょう。
また、片方の信頼関係が削除された場合、両方の信頼関係を削除しな
いと、再度信頼関係を作成出来ませんので、気を付けましょう。
  7. LanMANのドメインとNTのドメインは同一の物ですか? 
    LANMANのドメインと NTのドメインは同じものです。
ただし、NTのドメインの方が機能が増えており、NTが参加できるドメインは
NTをプライマリコントローラにしたものに限られます。
NT Serverに付いてくる LANMANはもともと OS/2 LANMANのクライアント
ですので、多少用語が異なります。
  8. NTで2つのNICを使って、別々のサブネットに接続する事は可能でしょうか?又、2つのドメインに接続する事も出来るのでしょうか? 
    NICを二枚さして別々のセグメントに接続する事は可能です。ドメインへの参加
ですが、同時に2つは出来ません。
  9. プライマリドメインコントローラとバックアップドメインコントローラのあいだのアカウント情報の同期はどのくらいの間隔ですか? 
    転送は、アカウント情報の変更分のみ複写し、変更間隔は、
デフォルト5分で、最大1時間間隔まであけることができます。
  10. ルータで接続されたWANがあるのですが、WAN経由でドメインに参加する事は可能でしょうか? 
    可能です。ただし、LMHOSTSファイルに#DOMでドメインコントローラの記述を
行なう必要はあります。詳しくはRisourcekitのネットワーキングガイドP300
からが参考になるでしょう。
  11. 2つのドメインン間で信頼関係を結んびました。が、信頼されているドメインのドメインコントローラでサーバマネージャを起動し、信頼している側のドメインのドメインコントローラを選ぶと、アクセスが拒否されてしまいます。何故でしょうか? 
    信頼関係を結んだだけでは、信頼されている側のドメインから信頼している側
の管理は出来ません。
信頼されているドメインのDomainAdminsグループを、信頼しているドメインの
Administratorsローカルグループのメンバに入れる必要があります。
  12. MS-Mailを使用していますが、マニュアルにポストオフィスのディレクトリの共有を「全員にフルコントロールの権限を与えよ」となっています。勝手に中身をいじられては困ります、なにかいい方法は無いでしょうか? 
    勝手にいじられては困るという事でしたら、権限としてリードオンリーを
設定しても特に問題はありません。
  13. 同一セグメントに互いに信頼していないドメインがあります。しかし、ネットワークの接続で参加しているドメイン以外の資源が見えてしまいます。何故でしょうか? 
    信頼関係に関係無く、ブロードキャストが届く場合にはファイルマネージャ等で
参加しているドメイン以外の資源も表示されます。
  14. WANで接続されたドメインがあるのですが、片方にはBDCしかありません。このとき、ユーザの認証はBDCで行われるのでしょうか?それともWANを越えてPDCに認証してもらうのでしょうか? 
    一番近いコントローラが認証しますので、この場合でしたらBDCが認証します。
また、同一セグメントにPDC、BDC両方あった場合でもBDCが認証する場合が多
いようです。これは、PDCは色々作業を行なっている為結構忙しいからです。
  15. NTサーバーで「Securityログファイルがいっぱいです」という警告が出るのですがどうすればいいでしょうか? 
    イベントビューアのログメニューからログの設定を選択すると、最大ログサイズ
の設定や上書きの設定等が行なえます。一杯になったログは、ログメニューの全
てのイベントを消去を実行すれば可能です。
  16. 管理者のパスワードを忘れてしまいました。この場合どうすればいいでしょうか? 
    管理者が複数いればどなたか別の管理者に尋ねればいいのですが,
それでも,最悪の事態=全員忘れた場合には,
再インストールしかありません。
この再インストールとは,既存のNTのUpdate・修復ではありませんので,
レジストリの内容などは失われてしまいます。十分お気をつくください。

また,この状況が恐ろしいからといって,ディスプレイの前に張っておく
などということはないようにお願いいたします。
こうした後のシステムがどうなるか,おわかりでしょう。
最悪の事態が発生する可能性があるわけで,一行目へ戻るしかありません。(^^;
  17. ちょっと席を離れるのですが,ログオフできない事情があります。席を離れている間,他のひとに操作されては困るので,ログオフせずに他の人の操作だけを禁止する方法はありますか? 
    Ctrl + Alt + DeleteでWindows NTのセキュリティダイアログがでます。
この中に,「ワークステーションのロック」がありますので,このボタンを
押します。戻ってきたときは,パスワードを入力するとロックが解除されます。

また,このロックを忘れるくらいに頻繁に席を離れる場合には,
スクリーンセイバーの設定で,設定時間後スクリーンセイバー起動と同時に
自動的にロックする事もできます。この場合には,
コントロールパネル−>画面のデザイン
のパスワード保護のチェックボックスをチェックします。
  18. LanMan,Windows for Workgroups,Windows 95,OS/2等からのアクセスを,特定のマシンからは禁止することはできますか? 
    できません。NTのドメインコントローラでの認証は,NT以外に対しては
「ユーザレベルの認証」しかしていません。
  19. ログをとるように設定できましたが,どこにもログファイルが見つかりません。 
    ログファイルは,%SystemRoot%\system32\CONFIGに *.LOGというファイル名で
できていますが,テキストファイルではありませんので,notepadでは覗けません。
見るためにはイベントビューアをお使いください。
  20. NT,LanMan等からはログオンできるのに,Macからだけログオンできないユーザがいます。どうしてでしょうか? 
    1)ファイルマネージャやサーバマネージャのMacFileの設定で,
ユーザに権限が与えられていない場合。一番ありがち。
PrimaryグループがMacファイル共有のときには重要です。

2)意外と深刻なのが,Microsoft UAMを使う設定にせずに,
Apple標準の認証を認めている場合があります。セキュリティ上,
パスワードはできるだけ長く付けさせていたりすると,9文字以上の
パスワードを持つ人は,Apple標準の認証モジュールではログオン
できません。
  21. ドメイン間で信頼関係を確立しようとすると,一方方向からの信頼関係しか設定できないのですが,何が原因でしょうか? 
    信頼される側のドメインで、信頼する側のドメインが追加されているか
確認しましょう。
また、一旦信頼関係が失われたあとで、再度の信頼関係を設定する場合
は、一度両方の設定を削除しましょう。
  22. PDCになっているマシンを新しく購入したマシンと入替えたいのですが,新しいマシンをPDCに変更する方法はありますか? 
    一旦,BPCとしてインストールし,
サーバマネージャでBDCの新マシンをPDCへ昇格。
  23. 現在 Workgroupのサーバーとして運用しているNT ServerをPDCにして新たにドメインにしたいのですが,このサーバーをPDCにするにはどうすれば良いでしょうか? 
    新たに再インストールして、ドメインを構成する必要があります。
  24. 複数のドメインが存在する場合,NTはどのような方法で個々のドメインを識別しているのでしょうか? 
    NT内部においてのドメインの識別は、各ドメインに割り当てられた
「セキュリティ識別子」によって区別されています。
また、管理者とユーザはドメイン名で認識します。
  25. 二つの異なるドメイン間に信頼関係を設定しましたが,一方のドメインの資源を使用しようとすると権限がないと言われてしまいます。どうすれば資源を使用できるようになりますか? 
    信頼関係を設定しただけでは資源の利用は出来ません。
その資源を利用出来るように権利を割り当ててください。
  26. PDCになっているNT Serverに一般ユーザーがログオンしようとすると「このシステムのローカル原則はユーザーが対話的にログオンすることを許可していません」と表示されてしまいます。どうすればログオンできるようになりますか? 
    PDC, BDCは個別に「ローカルにログオン」の権利を与えることはできず,
ドメインの「ローカルにログオン」で,十把一からげ,ということですね。

それでもって,PDCにある資源を,BDCから使う場合には,(逆も同じ)
やっぱり「ネットワーク経由でのアクセス」が必要ですよね?
それで,「ローカルにログオン」の権利がないと,PDC,BDCどちらにも,
ログオンできないはず,で,質問のような状況になるわけです。

ですから,こういう場合には,ドメインユーザマネージャを使って,
ユーザの権利を適切に設定してください。
  27. 異なるドメインであってもマシンネームに他のドメインで使用されているマシンネームと同じ物を使用することはできないのでしょうか? 
    ネットワーク上でコンピュータ名は一意でなければいけませんので、
異なるドメインに属していても同じ物を使用する事は出来ません。
  28. 二つのドメインを運用しており,互いに信頼関係を設定していませんが,何故かログオンできてしまいます。何故このようなことが起きるのでしょうか? 
    二つのドメインに同一のユーザ名・同一のパスワードが偶然にも設定されて
いた場合にはログオンが可能です。

あと,Guestが生きていて,適当な権利を持っていれば,入れてしまう
可能性があります。
  29. ドメインにおけるローカルグループとグローバルグループの違いと使い方を簡単に教えて下さい。 
    グループがユーザの集まりであることは,どちらも同じです。
異なるのは,

ローカルグループには該当マシンのローカルユーザと
ドメインユーザが所属できる

のに対して,

グローバルグループにはドメインユーザだけが所属できる


という点です。従って,これらの概念的相違を生み出している

1) PDC, BDC
2) Server, Workstation

というマシンの使い分けの方針がグループの使い分け方を決めます。

PDC, BDCで行うサービスは,グローバルグループ=ドメインユーザに
対してです。従って,ここに,共有ディレクトリ,共有プリンタ,
RASをおく場合には,基本的にグローバルグループ単位で権限を設定します。

Server, Workstationでは,ローカルグループが使えますので,
マシン単位で「資源の公開・非公開」をドメインの管理者とは無関係に
決められます。ローカルグループに必要なドメインユーザを入れます。

RASはドメイン内アクセスのためにBDCでなくてはならず,
集中管理という面からは,PrinterはBDCのほうが好ましく,
となると,平のサーバの用途は共有ディレクトリこんな住みわけでしょうか。

基本的にはローカルユーザを作らないで運営するのがドメインの基本。
ただ,インターネットサービスを行う場合には,セキュリティの面から,
ローカルユーザが欲しくなりますので,平のServerの存在は逆に重要に
なります。
  30. NT Workstationで管理していたWorkgroupのアカウント情報を新たに作成したドメインにそのまま移行させる方法はありませんか? 
    ありません。
  31. ドメイン自体の名前を変更した場合,File Managerのネットワ−ク接続のMicrosoft Networkの場所に変更前のドメイン名が増えてゆきます。何とかならないでしょうか? 
    なんともなりません。
自然消滅するのをお待ち下さい。

これに限らず,ドメイン関連の操作は変更が浸透するまで
時間がかかります。
従って,慌てて,再変更の操作をするととんでもないことに
なるかもしれません。
「待つ」が最良の選択という場合が結構あります。
  32. どのようなドメインモデルにすれば良いのか悩んでいます。 
    NT本体付属の,「コンセプト&プランニングガイド」を参照ください。
また、nifty SMSBACK のLIB 8に 168 NT Server3.5/3.51企業の
ためのト゛メイン計画という情報があります。
  33. NT-Serverで、自分がドメイン・コントローラーになっているかどうかを確認するにはどうしたらいいでしょうか? 
    サーバマネージャで分かります。
  34. Serverを PDC, BDCに変更できますか? 
    再インストールが必要です。

ホームページへ戻る メニューへ戻る 巻き戻し

NT-FAQ-J 3.50.0, Copyright (C) 1996 NT-Committee, All rights reserved
ご利用の前に一度,配布条件をお読み頂くようお願いいたします。