none
ドメイン参加したローカルアカウントのポリシーを変更したい RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    こんにちは。いつも大変お世話になっています。

    Windows2012サーバーを導入した時点で、バックアップソフト(BackupEXEC)を導入し、ローカル管理者ユーザーの権限で設定をしておりました。

    その時点ではドメインサーバー移行中であったため、ドメイン参加させていなかったことから、後からドメイン参加させました。その後は、普通に使用していたのですが、パスワードの有効期限が切れてしまったので、パスワードを変更してしまいました。

    これが原因で、バックアップソフトの実行ができなくなり、昨日よりバックアップが取れない状況になっています。

    バックアップソフトでユーザーのパスワードを変更すればよいのだとは思いますが、動作するまでに業者による作業が何日も掛かっているため、変更はして欲しくないと言われています。

    元のパスワードに戻そうとしたところ、ドメインのポリシー(150日変更不可)に引っ張られて変更が出来ない状態になっています。

    ローカルグループポリシーエディタ(gpedit.msc)でポリシーの変更をしようとしたところ、グレーアウトして変更できません。

    ドメインのポリシーを変更して、有効期限を無期限にするという方法もあるかもしれませんが、既存のユーザーの有効期限がクリアされてしまうこと、また、現在、ADMTによるドメインの引っ越し作業中なので、それに与える影響を考えると、ドメインポリシーを変えることは正直したくないところです。

    ドメインアカウントであれば、グループポリシーエディタを使って、アカウントポリシーを除外する方法もできそうなのですが、ローカルアカウントに対するポリシーの除外の方法が判らないので、いろいろ調べているのですが、よく判らず困っております。

    https://technet.microsoft.com/ja-jp/library/cc730760.aspx

    を見ると、「ローカルグループポリシーのユーザー設定を無効にする」方法がありますが、Windows2012のせいか、この説明の通り画面遷移しません。また、MMCを適用する方法も良く判らないのですが、MMCでローカルセキュリティポリシーを参照はできるものの、変更は出来ません。

    よい方法がありましたら、ご教授頂けないでしょうか?

    よろしくお願い申し上げます。

    • 編集済み hatsujiro 2015年10月8日 9:37
    2015年10月8日 9:34
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    コンピュータの「ドメインアカウントポリシー」は、ドメインに参加した時点で強制されます。これを「ドメインに参加したまま」、特定コンピュータだけ影響を除外する方法は用意されていません。

    状況から「いったんドメインを離脱(ワークグループに参加)」することで、アカウントポリシーはローカルポリシーが反映されるようになります。この状態でパスワードを戻してください(変更時の操作と同じ方法で戻す必要があります)。

    あと、余計なお世話かと思いますが、

    その後は、普通に使用していたのですが、パスワードの有効期限が切れてしまったので、パスワードを変更してしまいました。

    ローカルアカウントのパスワードを「変更」とおっしゃっていますが、おそらくパスワードを「リセット」したのだと思います。ローカルアカウントのパスワードをリセットした場合、DPAPI機能で保護された領域(内部パスワードや証明書類)が復号できなくなり、アクセスできなくなります。よくあるコマンド「net user」でパスワードを変更することは、「リセット」に相当しますので、注意してください。パスワードの変更([Alt]+[Ctrl]+[Del]でのパスワード変更)を使えば、この問題は発生しません。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2015年10月8日 10:04
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    質問者の補足です。

    今回の問題は、パスワードの有効期限が切れており、それがドメインアカウントポリシーの制約を受けるということから発生したのですが、有効期限ということに限って言えば、ローカルアカウントに対し、「パスワードを無期限にする」という設定がコンピュータの管理の中でアカウント単位で出来るようなので、その設定はドメインに参加しても、ドメインポリシーとは関係なく生きるようです。

    したがって、今回の設定は、「パスワードを無期限にする」さえ指定されていれば、ローカル管理者のままで運用すれば問題無かったようです。

    どうもお騒がせしました。

    • 回答としてマーク hatsujiro 2015年10月9日 4:52
    2015年10月9日 4:52
    |

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    コンピュータの「ドメインアカウントポリシー」は、ドメインに参加した時点で強制されます。これを「ドメインに参加したまま」、特定コンピュータだけ影響を除外する方法は用意されていません。

    状況から「いったんドメインを離脱(ワークグループに参加)」することで、アカウントポリシーはローカルポリシーが反映されるようになります。この状態でパスワードを戻してください(変更時の操作と同じ方法で戻す必要があります)。

    あと、余計なお世話かと思いますが、

    その後は、普通に使用していたのですが、パスワードの有効期限が切れてしまったので、パスワードを変更してしまいました。

    ローカルアカウントのパスワードを「変更」とおっしゃっていますが、おそらくパスワードを「リセット」したのだと思います。ローカルアカウントのパスワードをリセットした場合、DPAPI機能で保護された領域(内部パスワードや証明書類)が復号できなくなり、アクセスできなくなります。よくあるコマンド「net user」でパスワードを変更することは、「リセット」に相当しますので、注意してください。パスワードの変更([Alt]+[Ctrl]+[Del]でのパスワード変更)を使えば、この問題は発生しません。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2015年10月8日 10:04
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンさん

    コメント有難うございました。

    コメント頂きました通り、ひとまずドメインを離脱しました。これでバックアップは出来ると思います。

    どうも有難うございました。

    しかし、またドメイン参加する時に同じ問題が起こります。

    ドメインポリシー上で、アカウントポリシーを適用しないグループに属することにより、パスワードの制限を排除しているのですが、ローカルアカウントではドメインポリシー上で管理できないのに、ドメインの影響を受けるのですね。

    バックアップソフトの実行権限をローカルの管理者につけてしまうのは良くないですね。最初からドメインユーザーで設定しておくべきでした。

    2015年10月8日 10:52
    |
  • Question
    サインインして投票
    0
    サインインして投票

    質問者の補足です。

    今回の問題は、パスワードの有効期限が切れており、それがドメインアカウントポリシーの制約を受けるということから発生したのですが、有効期限ということに限って言えば、ローカルアカウントに対し、「パスワードを無期限にする」という設定がコンピュータの管理の中でアカウント単位で出来るようなので、その設定はドメインに参加しても、ドメインポリシーとは関係なく生きるようです。

    したがって、今回の設定は、「パスワードを無期限にする」さえ指定されていれば、ローカル管理者のままで運用すれば問題無かったようです。

    どうもお騒がせしました。

    • 回答としてマーク hatsujiro 2015年10月9日 4:52
    2015年10月9日 4:52
    |