none
windows7 ドメインにログオンできない RRS feed

  • 質問

  • はじめて質問させて頂きます。

    本質門は、Microsoftコミュニティにも質問させて頂きました。そこで、こちらの方が回答が集まりやすいというアドバイスを頂きましたので、

    こちらのサイトにも投稿させて頂きました。よろしくお願い致します。

    Windows7 ProfessionalとWindows Server 2008 Active Directoryを使ってドメイン運用しています。
    Windows7でドメイン認証までは終わりました。
    いざ、ドメインにログインしようとすると、
    「お使いのログオン方法はこのコンピュータでは許可されていないためログオンできません。」
    というメッセージが出力され、ドメインユーザでログインすることができません。
    現象を列記いたします。

    ・ドメインadminでは、ドメインにログインすることができます。
    ・ドメインユーザでは、ドメインにログインできません。
    ・ドメインユーザの作り直しはしました。
    ・ドメインコンピュータの作り直しもしました。
    ・再度、WORKGROUPに戻し、再度ドメイン参加も行なってみました。
    ・ローカルグループポリシーエディタで確認したところ、「ローカルコンピュータポリシー」-「コンピュータの構成」-「Windowsの設定」-「セキュ リティの設定」-「ローカルポリシー」-「ユーザ権利の割り当て」-「ローカルログオンを許可」に「Administrators」、 「hoge_domain\Domain Admins」、「hoge_domain\hogegroup Users」が存在しており、『ユーザまたはグループの追加』、『削除』ボタンはグレーダウンしていて作業が行なえない状態です。
    ・Active Directoryのグループにhogegroupというグループは存在しております。
    ・このhogegroupにwindows7でログインしようとしているユーザ名を参加させてところ、Windows7でこのドメインユーザでログインすることができるようになりました。
    ・再度、hogegroupからこのユーザをはずしたところ、またwindows7にドメインユーザでログインすることができなくなりました。
    ・なぜ、ローカルグループポリシーのローカルログオンを許可の設定にhogegroupが追加(表記)されているのかはまるでわかりません。

    こういった状態なのですが、どのようにしたらドメインユーザでwindows7にログオンできるようになりますか?

    2013年10月8日 7:52

回答

  • チャブーン様、佐伯様

    アドバイスありがとうございます。

    本日、本件の事象が発生しているお客様のところへ行ってきましたので、結果をご報告致します。

    1.まず、メールの通知設定についてですが、ご指摘頂いた通り設定致しました。

    2.次にドメインに参加できない件ですが、本日、ActiveDirectoryのhogegroupグループから対象のユーザを削除して、Windows7をログオンしなおしたところ、無事にドメインにログインすることができました。

    なぜ、以前行なったときにこのようにならなかったのかは不明ですが、今回はそれだけでOKでした。当然、hogegroupグループのアクセス権は奪われていました。

    また、windows2003 serverでもwindows7proでも、gpresult /hは、コマンドエラーになってしまいました。 とりあえず、gresult /user hogehoge /v のコマンドは利用できました。

    従いまして、今回の事象の原因はよく分かっておりませんが、何も手立てを企てることなく、時間だけで解決してしまいました。

    原因が特定できず残念ではございますが、また、別のPCを設定するときにおきれば投稿させて頂きます(今まで、起きたことが無いので起きる可能性は低そうですが)。

    色々ありがとうございました。

    • 回答としてマーク 佐伯玲 2013年11月6日 1:19
    2013年11月5日 6:15

すべての返信

  • チャブーンです。

    これですが、セキュリティポリシーの「ローカルログオンの許可」という項目が、グループポリシーで制御されてしまっているせいなのではないでしょうか。この項目が制御(設定)されている場合、そこに含まれないユーザやグループのメンバはローカルログオンができません。

    探し方ですが、管理者権限でログオンした後、gpresult /h <htmlファイル名>で、(htmlファイルを見れば)上のポリシーがどのグループポリシーオブジェクトで設定されているかが分かります。調べものなんてしたくない!が最優先であれば、ひとまずDefault Domain Policyというポリシーの該当項目をチェックしてみてください。

    • 回答の候補に設定 佐伯玲 2013年10月9日 0:27
    2013年10月8日 9:42
  • チャブーン様、お返事遅くなりました。

    このサイトって、書き込みがあったことをメールで通知してくれないんですね。microsoftコミュニティの方は通知があったので、このサイトも通知されるものだと思っていました。

    さて、返信頂いた件ですが、試してみたいところですが、お客様社内の環境のためすぐに確認ができません。

    この度、訪問したときに調べてみます。

    依然不明な点が3点あります。

    ①「ローカルログオンの許可」に「hoge_domain\hogegroup Users」が追加されているのか?

    ②不思議に思い、Windows Server 2008 Active Directoryに「hoge2group」というグループを追加してから、windows7をドメインに参加させてみたのですが、「ローカルログオンの許可」に「hoge_domain\hoge2group Users」は追加されていませんでした。

    ③「ローカルログオンの許可」はローカルadminでログオンすると削除などができるようになっているが、ここにはドメインにログオンする分は表示されていない。ドメインadminでログオンすると、削除ボタンなどがグレーダウンしていて、修正等ができない。いったいどうやって修正ができるのか?

    2013年10月17日 2:32
  • 気になった点を・・・

    自分の環境は Windows8 ですが、確認してみました。「ローカルログオンの許可」規定のままでした。ちなみに規定とは

    ワークステーションおよびサーバーの場合: Administrators、Backup Operators、Power Users、Users、Guest
    ドメイン コントローラーの場合: Account Operators、Administrators、Backup Operators、Print Operators

    になります。ここでのポイントは、Users グループになります。

    この Users グループのメンバーには Domain Users が入っているので、ドメインのユーザーであればローカルログオンができるということになります。

    ご質問の①に関しては、わかりかねます。②は想定通り。③はグループポリシーにより制御されているのであれば、それは変更不可になります。

    ①の1つの可能性としては、グループポリシーの「制限されたグループ」による制御が効いているかもしれませんね。

    今回の現象は、ローカルログオンの許可が規定になっていないこと( Users グループが入っていない)によりログオンできなかったと思われます。

    以上、参考になれば幸いです。


    MVP:Virtual Machine Blog:MCTの憂鬱

    http://naonao71.wordpress.com/

    • 回答の候補に設定 佐伯玲 2013年10月21日 1:40
    2013年10月17日 3:44
    モデレータ
  • チャブーンです。

    ほとんどABEさんとかぶった答えだとは思いますが。

    このサイトって、書き込みがあったことをメールで通知してくれないんですね。microsoftコミュニティの方は通知があったので、このサイトも通知されるものだと思っていました。

    画面上部左上の「購読」を設定していただければ、スレッドに変更があった場合メールで通知されると思います。

    答えの方ですが、簡単に答えると次のようになるのでは、と思っています。

    1. どなたかが手動で「hoge_domain\hogegroup Users」をポリシーで設定した可能性があります(勝手にこのようにはなりません)
    2. 手動でポリシーを設定しない限りならないので、期待通りの動作です
    3. ポリシーが設定されている場合、ローカルポリシーを変更することはできませんので、期待通りの動作です

    で、調べるにあたって、「どのグループポリシーで「hoge_domain\hogegroup Users」を設定したか」が分かると状況が理解しやすいと思います(誰かが思い出すかもしれません)。そのため設定されたポリシーを特定するためのコマンドgpresult /h が必要という流れになります。

    • 回答の候補に設定 佐伯玲 2013年10月21日 1:40
    2013年10月18日 6:33
  • こんにちは、千寿 さん
    フォーラムオペレータの佐伯 玲 です。

    TechNet フォーラムではメールの通知がデフォルトで設定されず以下のような手順が必要となります。

    1.「クイック アクセス」から「設定」を選択
    2.「アラートを設定する」にある「既定で Live Alerts を有効にする」のチェックを入れます。

    3.各スレッドで「購読」リンクをクリックするとメールの配信対象となります。



    こちらのFAQからも確認出来ますのでご参考ください。
    (翻訳設定を日本語に設定ください)

    http://social.technet.microsoft.com/wiki/contents/articles/7359.forums-help-faq.aspx


    また皆さんから寄せられた情報をご確認いただきご参考になったり解決に至ったという時には「回答としてマーク」して頂く事をお願いしております。
    マークがつくと一覧等でスレッドが意見募集中か解決済みかわかりやすくなります。

    宜しくお願い致します。


    • 編集済み 佐伯玲 2013年10月22日 6:46
    2013年10月22日 6:31
  • チャブーン様、佐伯様

    アドバイスありがとうございます。

    本日、本件の事象が発生しているお客様のところへ行ってきましたので、結果をご報告致します。

    1.まず、メールの通知設定についてですが、ご指摘頂いた通り設定致しました。

    2.次にドメインに参加できない件ですが、本日、ActiveDirectoryのhogegroupグループから対象のユーザを削除して、Windows7をログオンしなおしたところ、無事にドメインにログインすることができました。

    なぜ、以前行なったときにこのようにならなかったのかは不明ですが、今回はそれだけでOKでした。当然、hogegroupグループのアクセス権は奪われていました。

    また、windows2003 serverでもwindows7proでも、gpresult /hは、コマンドエラーになってしまいました。 とりあえず、gresult /user hogehoge /v のコマンドは利用できました。

    従いまして、今回の事象の原因はよく分かっておりませんが、何も手立てを企てることなく、時間だけで解決してしまいました。

    原因が特定できず残念ではございますが、また、別のPCを設定するときにおきれば投稿させて頂きます(今まで、起きたことが無いので起きる可能性は低そうですが)。

    色々ありがとうございました。

    • 回答としてマーク 佐伯玲 2013年11月6日 1:19
    2013年11月5日 6:15