none
active directory, クライアントPCアカウント追加、再参加 RRS feed

  • 質問

  • すみません、似たような投稿があるかもしれませんが、有識者の方、下記の正しい手順をご教示願います。

    ・ドメイン参加済のwindows7のクライアントで、使用者が変わったため、

     新規ローカルアカウントを追加(ドメイン参加時の旧アカウントは残したまま)、

     ドメインに再参加

    PS:

    一旦ドメインから離脱し、新アカウントを作り、新アカウントではドメイン参加できなかったので、旧アカウントでドメイン参加しましたが、

    やはり新アカウントで参加するのが正しいかどうか・・

    (ちなみに今、ディレクトリアクセス時に、ログオン要求が出ることがある事象が発生しています ->旧アカウントでログオンし、しのいでいます)

    PS2:

    クライアントの使用は少しややこしい状況で、

    クラアントPC間で、人事異動のため、使用者(アカウント)を入れ替えるといった環境です。

    今回作業もそのためです。

    以上です

    2012年4月7日 12:15

回答

  • よくわからないのですが、確認です。

    1. 元の利用者はドメインアカウントを使用してログオンしていたのではないのですか?
    2. 新しい利用者のドメインアカウントはないのですか?
      そもそも、利用者が新しくなるからといってローカルアカウントを作る必要はないはずですが…。
      ドメインに再参加と書いている以上、新しい利用者のドメインアカウントがあると思うので、この手順を踏む理由はよくわかりません。

    ドメイン環境で端末を運用しており、その端末の利用者を変えるだけなら、新しい利用者のドメインアカウントでログオンすればよいだけです。ドメインから離脱する必然性はありません。
    (もしかしたら、ログオン可能なようにその端末でのグループに加えるなどが必要かもしれません)

    もし、その端末の管理者権限も新しい利用者に与えたいのであれば、その端末の管理者グループ(Administrators)に属するアカウントでログオンし、Administrators に新しいユーザーのドメインアカウントを追加してください。


    質問スレッドで解決した場合は、解決の参考になった投稿に対して「回答としてマーク」のボタンを押すことで、同じ問題に遭遇した別のユーザが役立つ投稿を見つけやすくなります。

    • 編集済み AzuleanMVP 2012年4月7日 13:23
    • 回答としてマーク YS 2012年4月7日 14:17
    • 回答としてマークされていない YS 2012年4月7日 22:46
    • 回答の候補に設定 田中夢 2012年4月16日 8:24
    • 回答としてマーク 田中夢 2012年4月20日 2:43
    2012年4月7日 13:23
  • ★質問ですが、既に新アカウントでPCが使用されているため(outlook等)、ローカルの新アカウントを消してやり直すのは難しく、この状態から正しい方向にさせるよい方法はありますでしょうか?

    下記でしょうか?

    http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/c07b3035-c150-409b-8b39-e39d445ec6f4/

    引用されているスレッドは関係ありません。(ドメイン参加権限をドメインアカウントに与える方法について述べたものであるため)

    ローカルアカウントとドメインアカウントは区別されるはずなので、ドメインアカウントでログオンし直すと別のプロファイルフォルダーが作られると思います。
    それをうまく引き継げるかどうかは、ちょっと私にはわかりません。

    ※アカウントを消さなくてもドメインアカウントでログオンすると、新しいプロファイルフォルダーができますので、”消す”というよりは、どうやってその新しいプロファイルフォルダーに”引き継ぐ”かを考えるべき。

    ★また、ローカルアカウントを作らずにドメイン参加した場合、outlook等document..\配下に作られるデータは、ローカル上どこに作られるのでしょうか・・?

    ログオン時にアカウント名に基づいてその端末にプロファイルフォルダーが作成されます。
    そもそも、ローカルアカウントも作った時点ではプロファイルフォルダーがなく、初めてログオンしたときに作成されたのでは?それと同じ挙動を示すだけだと思います。

    あと、完全解決していない状態では「回答としてマーク」は外しておいた方がよいです。
    理由は回答済みだとみないという方もおられるからです。
    (参考になったとはつけてもらって全然 OK です)


    質問スレッドで解決した場合は、解決の参考になった投稿に対して「回答としてマーク」のボタンを押すことで、同じ問題に遭遇した別のユーザが役立つ投稿を見つけやすくなります。

    • 回答の候補に設定 田中夢 2012年4月16日 8:24
    • 回答としてマーク 田中夢 2012年4月20日 2:43
    2012年4月7日 14:49
  • これを踏まえ、現在発生している、ドメインアカウント変更後、PC使用中に「ドメインサーバへのログオン要求が出ることがある」という事象を、調べてみたいと思います。(月曜~)

    ファイルサーバーなど、ドメインに属するサーバーにアクセスを試みたときではないでしょうか?(何らかのツールによるアクセスも含む)
    ドメインに属するサーバーに接続する際には、通常、ドメインアカウントの情報が必要なので、ログオン要求が表示されます。


    質問スレッドで解決した場合は、解決の参考になった投稿に対して「回答としてマーク」のボタンを押すことで、同じ問題に遭遇した別のユーザが役立つ投稿を見つけやすくなります。

    • 回答の候補に設定 田中夢 2012年4月16日 8:24
    • 回答としてマーク 田中夢 2012年4月20日 2:43
    2012年4月7日 22:59
  • 今回のドメインカウント変更前も、現在のようにログオン要求が再三出ていたかも確認します。

    #現在(ドメインカウント変更後)は、一度ログオン(ログオン記憶にチェックもして)した後も、再度出るので、

     利用者がPCを再起動/ログオフしていたかも、確認してみます。

    端末に対してドメインで登録されているアカウント(ローカルアカウントではない)でログオンしており、同じドメインのサーバーにアクセスする場合、ログオンしているアカウント情報で認証されます。
    サーバー側でそのアカウントを拒否(許可しないを含む)していない限り、認証画面は表示されずにそのまま利用できることになります。

    なお、グループポリシーなどで認証情報を保存しないように設定されている場合、認証画面に”記憶する”というチェックボックスが表示されますが、実際には機能しません。
    (必要であれば運用されているグループポリシーで裏をとってください)

    作ってしまったローカルアカウントは廃棄して、ドメインアカウントで運用していくことを目指した方がよいと思います。
    データを移行する手段を何とか探すか、あきらめてまっさらで移動するかになりますが、それをしないことによって毎日のように手間がかかるのですから。
    (これ が使える?)

    こういう質問が続くと言うことは、Active Directory を構築・メンテする詳しい人がいないのでしょうか…。

    // 事細かに私は返信しちゃっていますが、追加の情報がないときは特に返信されなくて OK です。
    // 実際に試してからの方が情報を多く出せると思うので。
    // 返信に時間が空くことは特に気にしないでください。(念のため書きました)


    質問スレッドで解決した場合は、解決の参考になった投稿に対して「回答としてマーク」のボタンを押すことで、同じ問題に遭遇した別のユーザが役立つ投稿を見つけやすくなります。

    • 編集済み AzuleanMVP 2012年4月8日 0:25
    • 回答の候補に設定 田中夢 2012年4月16日 8:24
    • 回答としてマーク 田中夢 2012年4月20日 2:43
    2012年4月8日 0:23

すべての返信

  • よくわからないのですが、確認です。

    1. 元の利用者はドメインアカウントを使用してログオンしていたのではないのですか?
    2. 新しい利用者のドメインアカウントはないのですか?
      そもそも、利用者が新しくなるからといってローカルアカウントを作る必要はないはずですが…。
      ドメインに再参加と書いている以上、新しい利用者のドメインアカウントがあると思うので、この手順を踏む理由はよくわかりません。

    ドメイン環境で端末を運用しており、その端末の利用者を変えるだけなら、新しい利用者のドメインアカウントでログオンすればよいだけです。ドメインから離脱する必然性はありません。
    (もしかしたら、ログオン可能なようにその端末でのグループに加えるなどが必要かもしれません)

    もし、その端末の管理者権限も新しい利用者に与えたいのであれば、その端末の管理者グループ(Administrators)に属するアカウントでログオンし、Administrators に新しいユーザーのドメインアカウントを追加してください。


    質問スレッドで解決した場合は、解決の参考になった投稿に対して「回答としてマーク」のボタンを押すことで、同じ問題に遭遇した別のユーザが役立つ投稿を見つけやすくなります。

    • 編集済み AzuleanMVP 2012年4月7日 13:23
    • 回答としてマーク YS 2012年4月7日 14:17
    • 回答としてマークされていない YS 2012年4月7日 22:46
    • 回答の候補に設定 田中夢 2012年4月16日 8:24
    • 回答としてマーク 田中夢 2012年4月20日 2:43
    2012年4月7日 13:23
  • 返信大変ありがとうございます。

    > 1. 元の利用者はドメインアカウントを使用してログオンしていたのではないのですか?

    そうです。(まずローカルアカウントで使用。その後そのアカウントでドメイン参加)

    > 2. 新しい利用者のドメインアカウントはないのですか?

    存在します。(ドメインサーバ)

    > そもそも、利用者が新しくなるからといってローカルアカウントを作る必要はないはずですが…。
    > ドメインに再参加と書いている以上、新しい利用者のドメインアカウントがあると思うので、この手順を踏む理由はよくわかりません。

    理由は未知ゆえです。

    初回のドメイン参加も、ローカルアカウントで使用している状態から、ドメインに参加していたため、

    まずそのPCでの新アカウントを作ることを考え、参加状態では作成出来なかったため、一旦離脱しました。

    > ドメイン環境で端末を運用しており、その端末の利用者を変えるだけなら、新しい利用者のドメインアカウントでログオンすればよいだけです。ドメインから離脱する必然性はありません。
    > (もしかしたら、ログオン可能なようにその端末でのグループに加えるなどが必要かもしれません)

    > もし、その端末の管理者権限も新しい利用者に与えたいのであれば、その端末の管理者グループ(Administrators)に属するアカウントでログオンし、Administrators に  新しいユーザーのドメインアカウントを追加してください。

    ご教示ありがとうございます。

    旧/新アカウントとも管理者権限にします(しています)。 (PC上の管理者権限という意味です)

    ★質問ですが、既に新アカウントでPCが使用されているため(outlook等)、ローカルの新アカウントを消してやり直すのは難しく、

    この状態から正しい方向にさせるよい方法はありますでしょうか?

    下記でしょうか?

    http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/c07b3035-c150-409b-8b39-e39d445ec6f4/

    ★また、ローカルアカウントを作らずにドメイン参加した場合、outlook等document..\配下に作られるデータは、ローカル上どこに作られるのでしょうか・・?

    以上です


    2012年4月7日 14:13
  • ★質問ですが、既に新アカウントでPCが使用されているため(outlook等)、ローカルの新アカウントを消してやり直すのは難しく、この状態から正しい方向にさせるよい方法はありますでしょうか?

    下記でしょうか?

    http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/c07b3035-c150-409b-8b39-e39d445ec6f4/

    引用されているスレッドは関係ありません。(ドメイン参加権限をドメインアカウントに与える方法について述べたものであるため)

    ローカルアカウントとドメインアカウントは区別されるはずなので、ドメインアカウントでログオンし直すと別のプロファイルフォルダーが作られると思います。
    それをうまく引き継げるかどうかは、ちょっと私にはわかりません。

    ※アカウントを消さなくてもドメインアカウントでログオンすると、新しいプロファイルフォルダーができますので、”消す”というよりは、どうやってその新しいプロファイルフォルダーに”引き継ぐ”かを考えるべき。

    ★また、ローカルアカウントを作らずにドメイン参加した場合、outlook等document..\配下に作られるデータは、ローカル上どこに作られるのでしょうか・・?

    ログオン時にアカウント名に基づいてその端末にプロファイルフォルダーが作成されます。
    そもそも、ローカルアカウントも作った時点ではプロファイルフォルダーがなく、初めてログオンしたときに作成されたのでは?それと同じ挙動を示すだけだと思います。

    あと、完全解決していない状態では「回答としてマーク」は外しておいた方がよいです。
    理由は回答済みだとみないという方もおられるからです。
    (参考になったとはつけてもらって全然 OK です)


    質問スレッドで解決した場合は、解決の参考になった投稿に対して「回答としてマーク」のボタンを押すことで、同じ問題に遭遇した別のユーザが役立つ投稿を見つけやすくなります。

    • 回答の候補に設定 田中夢 2012年4月16日 8:24
    • 回答としてマーク 田中夢 2012年4月20日 2:43
    2012年4月7日 14:49
  • 返信頂いた後大変時間が経ち、申し訳ありません。

    「★質問1」「★質問2」に対するご回答件、ありがとうございました。

    少しづつ分かってきました。

    ①「ローカルアカウント」 :PC

    ②「ドメインアカウント」 :PC->ドメインサーバ へログオン

     (PC側にもプロファイルフォルダが作成される)

    ③ドメイン参加時のドメインサーバへのID/PASS: ドメインサーバの管理者権限アカウント

    #全くドメイン無知識で申し訳ありません。

    これを踏まえ、現在発生している、ドメインアカウント変更後、PC使用中に「ドメインサーバへのログオン要求が出ることがある」という事象を、

    調べてみたいと思います。(月曜~)

     ・サーバ側のドメインアカウント設定

     ・元々①②を同じIDにし、③のときももそれを使っていたこと ->誤り

    またご報告します。

    PS:

    投稿も初体験でした。

    「回答としてマーク」の件もありがとうございました。

    また大変有用な知識を頂き、大変ありがとうございます。

    以上です

    2012年4月7日 22:49
  • これを踏まえ、現在発生している、ドメインアカウント変更後、PC使用中に「ドメインサーバへのログオン要求が出ることがある」という事象を、調べてみたいと思います。(月曜~)

    ファイルサーバーなど、ドメインに属するサーバーにアクセスを試みたときではないでしょうか?(何らかのツールによるアクセスも含む)
    ドメインに属するサーバーに接続する際には、通常、ドメインアカウントの情報が必要なので、ログオン要求が表示されます。


    質問スレッドで解決した場合は、解決の参考になった投稿に対して「回答としてマーク」のボタンを押すことで、同じ問題に遭遇した別のユーザが役立つ投稿を見つけやすくなります。

    • 回答の候補に設定 田中夢 2012年4月16日 8:24
    • 回答としてマーク 田中夢 2012年4月20日 2:43
    2012年4月7日 22:59
  • Azulearn様

    またまたありがとうございます。

    > ファイルサーバーなど、ドメインに属するサーバーにアクセスを試みたときではないでしょうか?(何らかのツールによるアクセスも含む)

    そのとおりです。(explorerからアクセス。ドメインに属するファイルサーバへ)

    > ドメインに属するサーバーに接続する際には、通常、ドメインアカウントの情報が必要なので、ログオン要求が表示されます。

    今回のドメインカウント変更前も、現在のようにログオン要求が再三出ていたかも確認します。

    #現在(ドメインカウント変更後)は、一度ログオン(ログオン記憶にチェックもして)した後も、再度出るので、

     利用者がPCを再起動/ログオフしていたかも、確認してみます。

    以上です

    2012年4月7日 23:18
  • 今回のドメインカウント変更前も、現在のようにログオン要求が再三出ていたかも確認します。

    #現在(ドメインカウント変更後)は、一度ログオン(ログオン記憶にチェックもして)した後も、再度出るので、

     利用者がPCを再起動/ログオフしていたかも、確認してみます。

    端末に対してドメインで登録されているアカウント(ローカルアカウントではない)でログオンしており、同じドメインのサーバーにアクセスする場合、ログオンしているアカウント情報で認証されます。
    サーバー側でそのアカウントを拒否(許可しないを含む)していない限り、認証画面は表示されずにそのまま利用できることになります。

    なお、グループポリシーなどで認証情報を保存しないように設定されている場合、認証画面に”記憶する”というチェックボックスが表示されますが、実際には機能しません。
    (必要であれば運用されているグループポリシーで裏をとってください)

    作ってしまったローカルアカウントは廃棄して、ドメインアカウントで運用していくことを目指した方がよいと思います。
    データを移行する手段を何とか探すか、あきらめてまっさらで移動するかになりますが、それをしないことによって毎日のように手間がかかるのですから。
    (これ が使える?)

    こういう質問が続くと言うことは、Active Directory を構築・メンテする詳しい人がいないのでしょうか…。

    // 事細かに私は返信しちゃっていますが、追加の情報がないときは特に返信されなくて OK です。
    // 実際に試してからの方が情報を多く出せると思うので。
    // 返信に時間が空くことは特に気にしないでください。(念のため書きました)


    質問スレッドで解決した場合は、解決の参考になった投稿に対して「回答としてマーク」のボタンを押すことで、同じ問題に遭遇した別のユーザが役立つ投稿を見つけやすくなります。

    • 編集済み AzuleanMVP 2012年4月8日 0:25
    • 回答の候補に設定 田中夢 2012年4月16日 8:24
    • 回答としてマーク 田中夢 2012年4月20日 2:43
    2012年4月8日 0:23
  • ■ドメイン管理下のサーバにアクセス時、logonを要求されることがある件

     ローカルアカウントとドメインアカウントに同じ名前のIDを使っていますが、

     双方のパスワードに不一致があることが判明し、ドメイン側のパスワードを変更し、終了しました。【済】

     (今までは、前使用者のドメインアカウントでlogonし、しのいでいました)

     ケアレスミスで大変ご迷惑をおかけしました。

    > 作ってしまったローカルアカウントは廃棄して、ドメインアカウントで運用していくことを目指した方がよいと思います。

    何年か前の前任者のときからローカルアカウントを作りドメイン参加という形になっており(何十台と)、

    実際の弊害が起きない限り、現状運用し、当面クローズとさせて頂きます。【済】

    将来的課題とします。

    > こういう質問が続くと言うことは、Active Directory を構築・メンテする詳しい人がいないのでしょうか…。

    その通りでして、4月から前任者と交代しています。(前任者も詳しいようではないようでして)

    前任者のときは、 ローカルアカウント運用 -> ドメインアカウント追加、ドメイン参加 のみの作業で

    今回は ドメイン参加状態での、ドメインアカウント変更(使用PCを変え、異動前と同じドメインアカウントを使用) で、初パターンでした。

    ---

    今回は素人にお付き合い下さいまして、ご迷惑おかけし、また大変ありがとうございました。

    以上です

    2012年4月9日 8:51
  • こんにちは。
    フォーラム オペレーターの田中夢です。
     
    Azulean さん
    とてもわかりやすくアドバイスをしていただきありがとうございます。
     
    YS さん
    今回のご質問につきましては、Azulean さんからのアドバイスを参考にしていただけたようですので、勝手ながら私のほうで [回答としてマーク] とさせていただきますね。
     
     
    今後とも、弊社のオンラインフォーラムをどうぞよろしくお願いしますね。
    ---------------------------------------------------------------------
    日本マイクロソフト株式会社 フォーラム オペレーター 田中夢
    2012年4月20日 2:43