none
Active Directoryに参加後のローカルAdministratorのパスワード変更について。 RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    いつもお世話になっております。度々申し訳ありません。

    Active Directory参加後(ドメコン・ワークステーション)に

    ローカルAdministrator(AD参加前のAdministrator)のパスワード変更についてですが

    ドメコンの場合一旦降格(ADの役割削除)を実施し、WorkGroupでログイン後でないと変更できないのでしょうか?

    2020年7月5日 8:32
    |

回答

  • Question
    サインインして投票
    1
    サインインして投票

    DCになるとローカルAdministratorはいなくなります。(ドメインAdministratorがローカルAdministratorになると言った方が正しいかもしれません)
    降格時にはローカルAdministratorのパスワードを設定します。

    私の検証環境で以下コマンドは通りましたが、ドメインAdministratorのパスワードが変更されました。

    Set-LocalUser -Name Administrator -Password (ConvertTo-SecureString -String $pwString -AsPlainText -Force)

    2020年7月5日 9:38
    |
  • Question
    サインインして投票
    1
    サインインして投票

    DC の場合はローカル Administrator は存在せず、降格の際に(ローカル Administrator が有効に戻るので)新規にパスワードを設定する動作です。

    メンバーサーバーやクライアントは普通に Administrator でサインインするか、Windows セキュリティの画面からローカル Administrator のパスワード変更が可能です(.\Administrator とユーザー指定する)。

    Hebikuzure aka Murachi Akira

    2020年7月5日 12:28
    |
  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    この件ですが、ドメインコントローラーのローカルアカウント(Administrator)は基本的に存在が隠れてしまうため、アクセス自体出来ません。

    なので基本的には考慮不可なのですが、DSRM(ディレクトリサービス復元モード)のアカウントは考慮すべきかもしれません。ローカル管理者アカウントの一種で、Active Directoryデータベースのリストアや、利用不可の際にトラブルシュートのために使用します。

    DSRMはコマンドで変更できますので、したのページを参考にしてください。

    https://kogelog.com/2010/06/30/20100630-01/

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2020年7月6日 1:35
    |

すべての返信

  • Question
    サインインして投票
    1
    サインインして投票

    DCになるとローカルAdministratorはいなくなります。(ドメインAdministratorがローカルAdministratorになると言った方が正しいかもしれません)
    降格時にはローカルAdministratorのパスワードを設定します。

    私の検証環境で以下コマンドは通りましたが、ドメインAdministratorのパスワードが変更されました。

    Set-LocalUser -Name Administrator -Password (ConvertTo-SecureString -String $pwString -AsPlainText -Force)

    2020年7月5日 9:38
    |
  • Question
    サインインして投票
    0
    サインインして投票

    LazyDogg様

    ご教示頂きありがとうございます。

    DCが2台ある場合でも同様にドメインAdministratorがローカルAdministratorになる認識で合いますでしょうか?

    後AD配下のワークステーションは一旦WorkGroupに降格して設定し直せばいいのではと思っておりますが

    如何でしょうか?

    2020年7月5日 10:37
    |
  • Question
    サインインして投票
    1
    サインインして投票

    DC の場合はローカル Administrator は存在せず、降格の際に(ローカル Administrator が有効に戻るので)新規にパスワードを設定する動作です。

    メンバーサーバーやクライアントは普通に Administrator でサインインするか、Windows セキュリティの画面からローカル Administrator のパスワード変更が可能です(.\Administrator とユーザー指定する)。

    Hebikuzure aka Murachi Akira

    2020年7月5日 12:28
    |
  • Question
    サインインして投票
    0
    サインインして投票

    皆々様。ご教示頂きありがとうございます。

    何分AD参加後のローカルAdministratorのバスワード変更は経験が無く

    また知見も乏しく色々とお聞きして申し訳ありません。

    整理させて頂くと

    1.DCはそもそもローカルAdministratorは存在せず、どうしても変更する場合は降格後(ADの役割削除等実施)変更する

    2.メンバーサーバ等はADに参加状態でローカルAdministratorのパスワード変更が可能である

    で認識合いますでしょうか?

    2020年7月5日 22:59
    |
  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    この件ですが、ドメインコントローラーのローカルアカウント(Administrator)は基本的に存在が隠れてしまうため、アクセス自体出来ません。

    なので基本的には考慮不可なのですが、DSRM(ディレクトリサービス復元モード)のアカウントは考慮すべきかもしれません。ローカル管理者アカウントの一種で、Active Directoryデータベースのリストアや、利用不可の際にトラブルシュートのために使用します。

    DSRMはコマンドで変更できますので、したのページを参考にしてください。

    https://kogelog.com/2010/06/30/20100630-01/

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2020年7月6日 1:35
    |
  • Question
    サインインして投票
    0
    サインインして投票

    「1.」「2.」ともその認識で問題ないです。

    Hebikuzure aka Murachi Akira

    2020年7月6日 3:40
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーン様。

    ご教示ありがとうございます。

    仮にDCで降格しPWを変更してもADに参加した際ドメインAdministratorのPWに

    書き換えられてしまうのではないでしょうか?

    色々とすいません。こんがらがってます。

    2020年7月6日 4:10
    |
  • Question
    サインインして投票
    0
    サインインして投票

    そもそもローカルの Administrator アカウントはドメインコントローラーでは存在しない(利用不可能になっている)ので、パスワードが書き換えられる云々の話以前の問題です。

    具体的にどのようなシナリオでどのようなことが起きることを懸念されているのでしょう?

    Hebikuzure aka Murachi Akira

    2020年7月6日 9:12
    |
  • Question
    サインインして投票
    1
    サインインして投票

    フォーラムにご投稿くださいましてありがとうございます。

    この後の状況はいかがでしょうか。

    同じ問題を持っている人々に役に立つために参考になった投稿には「回答としてマーク」をご設定ください

    ご不明な点がございましたら、お気軽にお問い合わせください

     

    Fan

    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2020年7月8日 7:46
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    ご返信遅くなりました。

    私が想定しているのはDCが障害で停止し、WindowsServerBackupからリストア実施した際

    ADの有効期限が切れていた場合、降格・昇格が必要になった場合を考えておりました。

    2020年7月9日 4:08
    |