none
Windows 2003 Saver にてadministratorでログインできない。 RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    お世話になります。しまぴーと申します。

    こちらに記載させて頂く前に色々と自分で調べてみたのですが、回答が見つからなかった為、ご質問させて頂きたく書き込みをさせて頂きました。

    現在2003 stdにて単独ドメインを構築しており、サーバへのログオンを管理者以外ログインさせない様、

    GPOを変更した所administratorでのログインが出来なくなってしまいました。

    設定箇所はドメインセキュリティポリシーの設定で、

    [コンピュータの構成]-[Windows の設定]-[セキュリティの設定]-[ローカル ポリシー]-[ユーザー権利の割り当て]

    の以下の部分
    ・ターミナルサービスを使ったログオンを拒否する。
    ・ローカルログインを拒否する
    に其々「Domain Users」グループを追加してしまいました・・・

    (aministratorがこのグループにいることを失念していました・・・)
    現状ローカルログオン及びリモート、mmcからもログインできなくなってしまいました。(共有フォルダなどにはアクセス可能)

    ※レジストリは以下に記載しているSV01から一部だけ見る事ができました。

     

    現状の構成としてはこの問題のサーバ(dc01)以外に同じドメイン内にファイルサーバのSV01(windoows 2008)と

    クライアントPC(Windows XP)数十台、ドメイン参加していないサーバ(windows 2003)があります。

    ※どれも同一セグメント内に存在しています。

     

    回復コンソール/レジストリ/フリーツールなんでも結構です。(但しサーバの再インストールやバックアップからの戻し運用上できません...)

    もしGPOの設定を元に戻す、またはログインする方法をご存知の方いらっしゃいましたら、ご教授願えませんでしょうか。

    大変申し訳ございませんが、何卒宜しくお願い申し上げます。

    2011年11月25日 12:10
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    私の方で簡単に検証してみました。その結果ですが、

    1. ドメインコントローラを「ディレクトリ復元サービス」で起動し、Administoratorアカウントでログオンする

    この段階で、ログオンが拒否される状態になってしまいます。セキュリティポリシーがローカルレベルで適用されてしまっているようです。そうなると、(インストールディスクによる) 回復コンソールでレジストリハイブを初期化するといった手法があり得ますが、レジストリデータを強制的に差し替えたような場合、システムが破損する可能性が高いので、もちろん「お奨めできません」。

    方法については考える必要がありますが、このような状況であればMSの有償サポートに支援を仰いだ方が、早いかもしれません。 

    • 回答としてマーク 星 睦美 2011年12月1日 9:27
    2011年11月30日 4:20
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャプーン様

    さっそくご返信いただきありがとうございます。それと検証まで行って頂き、お手数をおかけし申し訳ありませんでした。

    こちらも検証環境を構築し、「ディレクトリ復元サービス」で起動したところ、チャプーン様と同様ログオンすることができませんでした。
    レジストリキーの変更や強制書換えなども考えてみましたが、やはり運用状態のサーバに対しこの方法をとるのは危険であるため、
    断念いたしました。

    その後の経過でございますが、なんとか元の環境に戻すことができました。
    経緯でございますが、サーバ自体別の拠点に置いてあり、こちらからの操作は全てリモートで行っておりました。
    mmcの実行も拠点内にあるPC(ドメイン内のメンバコンピュータではないPC)にログオンし、そこからなんとかドメイン参加して
    mmcなどを実行できないか試している状態でございました。
    (ドメイン内のメンバコンピュータにリモートで入れなかったたのと、ドメインメンバのコンピュータがSV01しかなかったため)

    そのため昨日、拠点へ出向き以下の作業を実施したところ、元の環境に戻すことができました。

    1.ドメイン内のメンバコンピュータ(Windows XP)にドメインアドミンとしてログオン

    2.mmcを実行し、「グループポリシー オブジェクトエディタ」スナップインを追加し、DC01を選択

    3.DC01のGPOが表示されたので、「デフォルト ドメイン セキュリティ ポリシー」を選択

    4.[コンピュータの構成]-[Windows の設定]-[セキュリティの設定]-[ローカル ポリシー]-[ユーザー権利の割り当て]
      で「Domain Users」グループを各設定から削除


    チャプーン様にはいろいろ御調べ頂いたり、検証環境を構築していただいたりと、大変お手数をおかけしてしまい本当に申し訳ございませんでした。
    教えて頂いた内容は、今後の業務などに生かしていきたいと存じます。色々ご助力頂きありがとうございました。

    今後ともまたご縁がございましたらよろしくお願いいたします。

    • 回答としてマーク 星 睦美 2011年12月1日 9:27
    2011年12月1日 2:54
    |

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    まず、ドメインのAdministratorでログオンできない状況で、ドメインを運用するための情報を変更する、ということはかなり難しいことです。ですから手法としてアクロバチックな方法が必要となります(今から紹介する方法はグループポリシーのリクツから対応できると思われる方法になり、実際にやったことはありません)ので、検証環境を用意いただいて、「作業の内容を理解」して、「実際の作業に問題がない」ことを、ご自身で「確実に確かめて」いただければと思います。こういったことをご自身では行えない(他者の担保が必要)ならば、MSの有償サポートにご相談いただくことを、強くお奨めします。

    対応方法ですが、(SYSVOL共有にある)[Defalt Domain Policy]グループポリシーを読み込まないかたち(アクセス許可を拒否に設定する)で、ドメインコントローラを起動させ、ログオンしてから、)[Defalt Domain Policy]グループポリシーのアクセス許可を元に戻して、正しく編集し直す、というものです。前提としてPDCエミュレータ役割のドメインコントローラを使用し、(ネットワーク上)他のドメインコントローラから切り離していただく必要があります。

    1. ドメインコントローラを「ディレクトリ復元サービス」で起動し、Administoratorアカウントでログオンする
    2. C:\Windows\SYSVOL\sysvol\domain.com\policies\{31B2F340-016D-11D2-945F-00C04FB984F9}フォルダのアクセス許可に"Everyoneフルコントロールの拒否"を追加する
    3. ドメインコントローラを通常に起動し、ドメインAdmnistratorアカウントでログオンする(ログオンできるまでにかなりの時間がかかるはずです)
    4. 2のフォルダのアクセス許可からEveryoneフルコントロール拒否、の設定を取り除く
    5. [グループポリシーの管理]スナップインから、)[Defalt Domain Policy]ポリシーを編集し、Domain Usersのログオン拒否設定を取り除く
    6. gpupdate /forceコマンドでポリシーを反映させ、再起動させる
    7. ネットワークにつなぎ込んで、他のドメインコントローラを再起動させる

    うえはリクツ上で「この方法を使えば直るかもしれない」というレベルの話しなので、たとえば3の段階でログオンできるかどうか、など検証で事前確認していただかなければならないところがたくさんあります。その点は重ねてご理解ください。

    2011年11月26日 9:28
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    私の方で簡単に検証してみました。その結果ですが、

    1. ドメインコントローラを「ディレクトリ復元サービス」で起動し、Administoratorアカウントでログオンする

    この段階で、ログオンが拒否される状態になってしまいます。セキュリティポリシーがローカルレベルで適用されてしまっているようです。そうなると、(インストールディスクによる) 回復コンソールでレジストリハイブを初期化するといった手法があり得ますが、レジストリデータを強制的に差し替えたような場合、システムが破損する可能性が高いので、もちろん「お奨めできません」。

    方法については考える必要がありますが、このような状況であればMSの有償サポートに支援を仰いだ方が、早いかもしれません。 

    • 回答としてマーク 星 睦美 2011年12月1日 9:27
    2011年11月30日 4:20
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャプーン様

    さっそくご返信いただきありがとうございます。それと検証まで行って頂き、お手数をおかけし申し訳ありませんでした。

    こちらも検証環境を構築し、「ディレクトリ復元サービス」で起動したところ、チャプーン様と同様ログオンすることができませんでした。
    レジストリキーの変更や強制書換えなども考えてみましたが、やはり運用状態のサーバに対しこの方法をとるのは危険であるため、
    断念いたしました。

    その後の経過でございますが、なんとか元の環境に戻すことができました。
    経緯でございますが、サーバ自体別の拠点に置いてあり、こちらからの操作は全てリモートで行っておりました。
    mmcの実行も拠点内にあるPC(ドメイン内のメンバコンピュータではないPC)にログオンし、そこからなんとかドメイン参加して
    mmcなどを実行できないか試している状態でございました。
    (ドメイン内のメンバコンピュータにリモートで入れなかったたのと、ドメインメンバのコンピュータがSV01しかなかったため)

    そのため昨日、拠点へ出向き以下の作業を実施したところ、元の環境に戻すことができました。

    1.ドメイン内のメンバコンピュータ(Windows XP)にドメインアドミンとしてログオン

    2.mmcを実行し、「グループポリシー オブジェクトエディタ」スナップインを追加し、DC01を選択

    3.DC01のGPOが表示されたので、「デフォルト ドメイン セキュリティ ポリシー」を選択

    4.[コンピュータの構成]-[Windows の設定]-[セキュリティの設定]-[ローカル ポリシー]-[ユーザー権利の割り当て]
      で「Domain Users」グループを各設定から削除


    チャプーン様にはいろいろ御調べ頂いたり、検証環境を構築していただいたりと、大変お手数をおかけしてしまい本当に申し訳ございませんでした。
    教えて頂いた内容は、今後の業務などに生かしていきたいと存じます。色々ご助力頂きありがとうございました。

    今後ともまたご縁がございましたらよろしくお願いいたします。

    • 回答としてマーク 星 睦美 2011年12月1日 9:27
    2011年12月1日 2:54
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    問題解決してよかったです。「ネットワーク経由でのログオン」は生きていたので、助かったのですね。手順としても問題ないと思います。。「ネットワーク経由でのログオン」も拒否したのかなと勘違いしていて、ご案内できなかったです。

    こちらも勉強になりました。

    2011年12月1日 3:20
    |
    モデレータ