none
クライアントからのローカルユーザーパスワード変更に関して RRS feed

  • 質問

  • クライアントからのローカルユーザーパスワード変更に関して

    【経緯】
    以前にWindowsServer2008R2で同様の質問をさせていただいたのですが、来年OSのサポートが切れるためGW中にWindowsServer2016で仮想ゲストを作成し直した所同様の事象に陥ったためご助力をお願いいたします。

    【環境】
    Hyper-V内のゲスト環境のWindowsServer2016 (ワークグループ)にファイルサーバーとして使用するために、共有フォルダを作成して各自のローカルユーザーを登録してアクセス権設定で管理をしております。

    作成したローカルユーザーのパスワード変更が出来ません。

    [エラーメッセージ]
    「アクセスが拒否されました」とメッセージが出て変更できない

    【変更手順(変更不可能の手順)】
    クライアントPCにて「Ctrl」+「Alt」+「DEL」キーで「パスワードの変更」ログオン先を「サーバー名\ユーザー名」 に対してパスワード変更

    【変更ができない状況】
    ・クライアントからのパスワード変更が出来ない
    ・「Windows7&10からパスワード変更をした場合」でも同様

    クライアントのOS、サーバーのOSの違いによる現象の差異はありません。

    【現在の対応】
    クライアントPCからの「リモートデスクトップ」でのサーバー側でのログオンでのパスワード変更は可能ですので逐次変更を我々が実施しています。


     【これまでの検証内容】
    1.クライアントのWindow資格情報コンテナに保存されている情報を削除

    2.SymantecEndopointProtectionの無効化をして実施

    3.Windowsファイアーウォールをサーバー及びクライアントにて無効化

    4.WindowsServer2016に変更した際に「ローカルセキュリティポリシー」の「ネットワークアクセス:リモートからアクセスできる名前付きパイプ」に「SAMR 」という項目を加えております。(再起動は実施済み)

    5.[ローカルポリシー]-[セキュリティオプション]の"ネットワークアクセス:リモートからアクセスできる名前付きパイプ"ポリシーに「SAMR」という文字を加える。
    (再起動は実施済み)

    6.MS16-101対応1
    ・レジストリ追加1
    https://blogs.technet.microsoft.com/jpntsblog/2016/08/17/ms16-101/

    パス: HKLM\System\CurrentControlSet\Control\Lsa
    名前: NegoAllowNtlmPwdChangeFallback
    種類: 32-bit REG_DWORD

    ・レジストリ追加2
    https://docs.microsoft.com/ja-jp/windows/security/threat-protection/security-policy-settings/network-access-restrict-clients-allowed-to-mcsdake-remote-sam-calls

    パス HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
    設定 RestrictRemoteSamAuditOnlyMode
    データの種類 REG_DWORD
    値 1

    上記2つのレジストリ追加後再起動

    7.SMB1.0の無効化
    PowerShellを管理者権限で起動しアンインストールコマンドを実施。
    再起動後「機能」一覧よりSMB1の削除を確認

    【他のサーバーにて】
    同時に3台のサーバーを構築したのですが3台中2台でこの現象が起こっております。
    残りの1台は上記手順を実施後パスワード変更ができるようになりました。


    パスワード無期限で運用しないとユーザーからサーバー内のローカルユーザーパスワードの変更ができないのは不便です。ActiveDirectryでの運用はまだ先の予定のため何か解決手段はないでしょうか。

     以上、よろしくお願いいたします

    2019年5月9日 9:48

回答

  • チャブーンです。

    この件、仕方ないので簡単に検証しました。その結果ですが、

    • 「ネットワークアクセス:リモートからアクセスできる名前付きパイプ」に「SAMR 」
    • 「RestrictRemoteSamAuditOnlyMode」レジストリ値を1に設定
    • Windowsファイアウォールを無効化

    の3点をキチンとすれば、できることがわかりました。(ただしWindows Server 2016に全更新プログラムは適用してください) ですから、この件は環境依存だと思いますので、SEPの設定・ファイアウォール(WindowsではなくSEP側も製品によってはあります)の設定を中心に確認するようにしてください。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2019年5月15日 4:26

すべての返信

  • こんにちは

    下記の意見をご検討をお願いします。

    原因を絞るように下記をテストを勧めます

    • まず,確認したいのは登録しているローカルユーザーは普通のユーザーかそれとも管理員ですか?
    • また、Hyperv の問題かどうかを確認した方がいいと思います。非hyperーvの環境でクライアントのパスワードの変更ができますか
    • SymantecEndopointProtectionの無効化をして実施 これは禁止して、それとも新しい環境でインストールしない場合、結果はどうでしょうか

    どうぞよろしくお願いいたします

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年5月10日 3:39
    モデレータ
  • ご意見ありがとうございます。

    以下判明している箇所をまずはご回答します。

    >・確認したいのは登録しているローカルユーザーは普通のユーザーかそれとも管理員ですか?

    • ⇒普通のユーザーになります。なお、管理者のアカウントを変更しようとしても同様の状況となりました。
    • 管理者権限(administrators)を付与しても同様でした。
    • >Hyperv の問題かどうかを確認した方がいいと思います。非hyperーvの環境でクライアントのパスワードの変更ができますか
    • ⇒非Hyper-vの環境は現在作成中です。結果が分かり次第回答致します。
    • また、今回Hyper-vの環境下に3台のゲスト環境を構築致しました。この内2台でパスワード変更ができなく、1台は上記手順を実施後にパスワード変更ができるようになりました。
    • >SymantecEndopointProtectionの無効化をして実施 これは禁止して、それとも新しい環境でインストールしない場合、結果はどうでしょうか⇒サービスを禁止しての状況となります。

    よろしくお願いいたします。

    2019年5月10日 8:45
    • test
    2019年5月13日 2:36
  • こんにちは

    上記非Hyperーvのテストの結果がありましたら、連絡をお願いします。

    どうぞよろしくお願いいたします

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年5月13日 7:50
    モデレータ
  • 昨日の投稿が巧く反映されておらずすいません。

    非Hyperーv環境を構築してまずは何も設定等しない状態(SymantecEndopointProtectionも入れず)でパスワード変更を実施しましたが同様の現象でした。

    また、他のサーバーと同様の設定を施しましたがパスワード変更ができない状態は変わりませんでした。

    宜しくお願い致します。

    2019年5月14日 5:44
  • こんにちは:

    また調べてみましたが、

    原因:UACがアカウントに対して有効になっている場合のMicrosoftの設計によるものようです。 機能アカウントとして使用されているアカウントが何かを行うためにUACダイアログを表示する場合、TPAMにはダイアログをクリック/受け入れまたは閉じる方法は絶対にありません。 Microsoftsの安全なUACの設計は、キーボードのところにいる人がアラートと対話して受け入れる必要があることを意味します。

    解決策1  - built-in "Administrator"アカウントを使用する

    解決策2  - 管理者以外の別のアカウントがアカウントをadministratorと同じで機能できるようにする

    解決策3  - ドメインアカウントを使用する

    下記のMSDNの記事「ユーザーアカウント制御とWMI」に従って、UACはドメインアカウントには適用されません。

    詳しい解決方法として下記のリンクをご参考ください。

    https://support.oneidentity.com/kb/82461/error-access-is-denied-user-account-control-blocks-local-user-password-management-on-windows-2008-and-above

    どうぞよろしくお願いいたします

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年5月14日 9:06
    モデレータ
  • こんばんは、調査いただきありがとうございます。

    解決策3はワークグループ環境の為確認はできないのですが、解決策1と2を実施してみました。

    解決策1:ビルトインのAdministratorをパスワード変更はできませんでした。

    解決策2:管理者以外のアカウントにAdministrators権限を付与してパスワード変更を実施してましたが変更できませんでした。

    どちらも現象(エラーメッセージ)は変わらずです。

    上記解決策を実施していなくても管理者以外のアカウントが「users」権限しかないにも関わらずパスワード変更ができてしまう環境(WindowsServer2016)があるのですが何が何がどう違うのかが判別できずにおります。

    ご助力の程宜しくお願い致します。

    2019年5月14日 9:57
  • こんにちは

    今までまだ問題を解決できなくて残念です。

    複雑な状況で、データを分析するためにプロセスモニタを使用する必要があると思います。申し訳ございませんが、フォームの支持範囲を超えました。、

    それでもまだ進捗がない場合は、マイクロソフトカスタマーサービス&サポートに連絡して効率的な解決策をお勧めします。

    アドレスhttps://support.microsoft.com/en-us/contactus/?ln=en-au

    どうぞよろしくお願いいたします

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年5月15日 1:47
    モデレータ
  • チャブーンです。

    この件ですが、話の流れとして、「Windowsの仕様」と「実際の環境での問題点・確認点」が錯綜している状態なので、うまく問題解決に向かわないように思います。

    質問者の方になのですが、一度「クリーン環境」でWindows Server 2016を仮想マシンレベルでインストールし、実際の仕様(動作検証)をされてはどうでしょうか?最近はWindows 10 Pro等なら、「Hyper-Vクライアント」がOS上で構成できますので、クライアント端末でこれを構成し、仮想マシンとしてWindows Server 2016の構成が可能です。

    資料ベースだと、「SAMR」の設定のほか「RestrictRemoteSamAuditOnlyMode」を有効にすれば、正常に動作するよう見受けられます(少なくてもNegoAllowNtlmPwdChangeFallbackは不要です)。USフォーラムに実例がありますし、この件は「SAMR」名前付きパイプが「匿名アクセス」できるようにする必要があるので、UACの動作が影響を与えているならWindows Server 2012 R2等過去のOSでも同じ問題が出てきているはずです。

    可能性としてSymantecのアンチウイルスソフトの影響はあり得ると思います。SEPはサービスを止めただけでは無効にはなりません。カーネル回りのドライバー等からデータをフックしているため、これらの機能も無効化する必要があるためです。無効化のための専用コマンドがあると思うのですが、これはSymantecに聞いてください。

    そういったことを考えると「素のWindowsで試す」のが一番の近道です。こういった作業を「コミュニティの誰かが忖度してやってくれる」と考えると、結果的に失敗してしまうと思います。ちなみに本フォーラムで答えているMSモデレーターはあくまでコミュニティメンバーとしての対応範囲であり、「有償サポートの代わりである」と思ってはいけません。

    厳しい言い方かもしれませんが、ご理解ください。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2019年5月15日 3:06
  • チャブーンです。

    この件、仕方ないので簡単に検証しました。その結果ですが、

    • 「ネットワークアクセス:リモートからアクセスできる名前付きパイプ」に「SAMR 」
    • 「RestrictRemoteSamAuditOnlyMode」レジストリ値を1に設定
    • Windowsファイアウォールを無効化

    の3点をキチンとすれば、できることがわかりました。(ただしWindows Server 2016に全更新プログラムは適用してください) ですから、この件は環境依存だと思いますので、SEPの設定・ファイアウォール(WindowsではなくSEP側も製品によってはあります)の設定を中心に確認するようにしてください。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2019年5月15日 4:26
  • 返信が遅くなり申し訳ありません。

    支援範囲を超えたとの事で承知致しました。

    マイクロソフトカスタマーサービス&サポートに問い合わせをしてみます。

    ありがとうございました。

    2019年5月20日 8:11
  • こんにちは

    ご理解ありがとうございます。

    他にお役に立つところがありましたら、ご投稿をお願いします。

    どうぞよろしくお願いいたします

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年5月20日 8:59
    モデレータ
  • 返信が遅くなり申し訳ありません。また、検証もしていただきありがとうございます。

    実環境ではSEPも入れずにOSだけインストールして全更新プログラム適用後に実施しておりました。

    3点の対応策で改善できたとの事ですので、余計な対応は省いた状態で再度確認をしてみます。

    2019年5月20日 9:07
  • 再度仮想環境内に環境を作成してチャブーンさんの検証された3つの設定を実施した所パスワード変更ができるようになったのでご報告いたします。

    今までと違う作業

    ・windowsファイヤーウォールの無効化の部分で詳細設定で「パブリック」と「プライベート」は無効になっておりましたが「ドメイン」が有効になっていた。

    ・「ネットワークアクセス:リモートからアクセスできる名前付きパイプ」に「SAMR 」に設定後再起動を実施。

    ・「RestrictRemoteSamAuditOnlyMode」レジストリ値を1に設定後再起動実施

    恐らくはファイヤーウォールの設定が原因だと思いますが、以上の点を再度今までパスワード変更できなかったサーバーでも実施した所全てのサーバーでパスワード変更ができるようになりました。

    この度は本当にありがとうございました。

    2019年5月22日 2:42
  • こんにちは

    問題を解決できてよかったです。

    今後また何か役に立つところがありましたら、遠慮なくてここで投稿ください。

    どうぞよろしくお願いいたします

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年5月23日 1:33
    モデレータ