none
このサインイン方法は利用できません。詳しくは、ネットワーク管理者に問い合わせてください RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    ADサーバーの老朽化からWindows Server2012からWindows Server2019へリプレイスを行ったのですが

    移行後に新規にドメインユーザ(管理者ユーザー、標準ユーザー)を作成し、Windows10のPCへ

    作成したドメインユーザーでログインしたのですが

    管理者ユーザーはエラーがなくログイン出来たのですが、

    標準ユーザーが「このサインイン方法は利用できません。詳しくは、ネットワーク管理者に問い合わせてください」

    と表示されログイン出来ません。

    既存のドメインユーザーではログイン出来るのですが、新規に作成した標準ユーザーのみログインできません。

    暫定対応でグループポリシーの「コンピュータの構成」ー「ポリシー」ー「Windowsの設定」ー「セキュリティの設定」ー「ローカルポリシー」ー「ユーザー権利の割り当て」ー「ローカルログオンの許可」

    にDomain Usersを追加することでログインできるようになったのですが

    既存のユーザーがログイン出来ているに新規で作成したユーザーがログイン出来なかったことに疑問が残っております。

    わかる方がいらっしゃいましたらアドバイスをお願いできますでしょうか。

    2020年1月27日 2:17
    |

回答

  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    この件、余計なお世話かもしれませんが、今後のことも考えて、以下のように対応したほうがいいように思います。

    1. 「ローカルログオンの許可」ポリシーに「Users」グループが存在することを確認する
    2. [コンピューターの管理]-[ユーザーとグループ]から、「Users」グループのメンバーに「Domain Users」を加える

    おそらく1の要件は最初から満たしているはずですので、2の要件がうまくいっていないように思われます。この動作は本来ドメイン参加すると自動的に行われますが、ドメイン参加後に手動で削除したか(理由はわかりませんが)、「制限されたグループ」ポリシーでローカルグループのメンバーを強制的に指定しているように見えますね。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2020年1月28日 1:57
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    oooohです。

    既存のドメインアカウントと新規のドメインアカウントで「所属するグループ」に差があるか確認しておりますか。

    2020年1月27日 2:28
    |
  • Question
    サインインして投票
    1
    サインインして投票

    既存のユーザーも、新規のユーザーも Domain Users だけに所属しているのでしょうか?

    既存のユーザーは他のグループにも所属していて、そのグループにローカルログオンの権利が割り当てられているというシナリオが最初に思いつきますが。

    既存のユーザーの所属しているグループとその権限を再確認されてはいかがでしょう。

    Hebikuzure aka Murachi Akira


    2020年1月27日 2:30
    |
  • Question
    サインインして投票
    0
    サインインして投票

    ooooh様

    返信有難うございます。

    リプレイス前のサーバーではグループポリシーはなにも設定されてませんでした。

    ドメインユーザーはOUで所属グループをわけておらずUsersのフォルダにすべて所属しております。

    既存ADサーバーから新規ADサーバーへのFSMO転送などは正常に完了してます。

    dcdiag /vで正常性確認をおこないましたが、すべての項目で合格しております。

    サーバーのイベントログなどもエラーは発生しておりません。


    2020年1月27日 3:34
    |
  • Question
    サインインして投票
    0
    サインインして投票

    oooohです

    再度おたずねしますが、

    「Active Directory ユーザーとコンピューター」から

    「既存アカウント」の「プロパティ」 > 「所属するグループ」タブの内容と、

    「新規アカウント」の「プロパティ」 > 「所属するグループ」タブの内容で、

    差異があるかどうか確認しましたか。

    OUが同一階層にあるからと言って、所属グループがすべて同一とは限りません。

    Hebikuzure様も仰っておりますが、

    アカウント自体の権限が不足または過剰であることが原因と考えられます。

    2020年1月27日 4:15
    |
  • Question
    サインインして投票
    0
    サインインして投票

    ooooh様

    度々のご返信有難うございます。

    新規アカウントはテスト用に作成したユーザーで

    所属グループはDomain Usersのみです。

    既存アカウントは各部署のグループなどが追加されております。

    所属グループがDomain Usersであればドメインに参加しているPCにはログイン可能かと

    おもうのですが、ログインできない場合もあるのでしょうか?

    2020年1月27日 7:44
    |
  • Question
    サインインして投票
    0
    サインインして投票

    Hebikuzure aka Murachi Akira様

    ご返信いただき有難うございます。

    ドメインユーザーがPCにログインするにあたりローカルログオンの許可は必須なんでしょうか?

    その設定が必須であれば今回の暫定対応で納得できるのですが。

    知識不足で申し訳ございません。

    2020年1月27日 7:50
    |
  • Question
    サインインして投票
    0
    サインインして投票

    oooohです。

    >所属グループがDomain Usersであればドメインに参加しているPCにはログイン可能かと
    >おもうのですが、ログインできない場合もあるのでしょうか?

    これに関してはクライアント側の設計次第ですのでサーバ側だけでは何とも言えないです。

    GPOを当てる前のクライアントのローカルポリシー上では、

    「ローカルログオンの許可」はどうなっていましたか。

    また、3rdパーティの資産管理系ソフトでその辺を制御できたりするものもありますので、

    そっち系のソフトを使用しているか等も確認したほうがよろしいかと思います。

    2020年1月27日 7:58
    |
  • Question
    サインインして投票
    0
    サインインして投票

    英文の上にちょっと古いドキュメントですが、

    Client, service, and program issues can occur if you change security settings and user rights assignments

    の「Allow log on locally」のセクションに "Users must have the Allow log on locally user right to access the console or the desktop of a workgroup computer, a member computer, or a domain controller." と書かれています。

    この権限がなければ Windows への対話的なログオン(サインイン)ができないということです。

    したがって、Domain Users にこの権限を与えていなくても以前の既存のユーザーがサインインできたということは、そのユーザーが所属している何らかのグループ(ドメイン上のグループか、ローカル グループ)にこの権限が与えられていたということです。例えばもしドメインのユーザーにローカル コンピューターの管理者権限を(ローカルコンピューターで個別に)与えていたとすれば、その権限でログオンできます。

    Hebikuzure aka Murachi Akira


    2020年1月27日 8:05
    |
  • Question
    サインインして投票
    0
    サインインして投票

    Hebikuzure aka Murachi Akira 様

    ご返信有難うございます。

    お送りいただいたドキュメントからローカルログオンの許可は必須であるということはわかりました。

    有難うございました。

    2020年1月28日 1:16
    |
  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    この件、余計なお世話かもしれませんが、今後のことも考えて、以下のように対応したほうがいいように思います。

    1. 「ローカルログオンの許可」ポリシーに「Users」グループが存在することを確認する
    2. [コンピューターの管理]-[ユーザーとグループ]から、「Users」グループのメンバーに「Domain Users」を加える

    おそらく1の要件は最初から満たしているはずですので、2の要件がうまくいっていないように思われます。この動作は本来ドメイン参加すると自動的に行われますが、ドメイン参加後に手動で削除したか(理由はわかりませんが)、「制限されたグループ」ポリシーでローカルグループのメンバーを強制的に指定しているように見えますね。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2020年1月28日 1:57
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーン様

    ご返信有難うございます。

    頂いたアドバイスを参考に設定をしたいと思います。

    有難うございます。

    2020年1月29日 23:53
    |
  • Question
    サインインして投票
    0
    サインインして投票

    フォーラムにご投稿くださいましてありがとうございます。

    皆さんから寄せられた投稿はお役に立ちましたか。

    参考になった投稿には「回答としてマーク」をご設定ください。

    ご不明な点がございましたら、お気軽にお問い合わせください

     

    Fan

    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2020年1月30日 7:47
    |
    モデレータ