none
コンピュータの管理コンソールに「ローカル ユーザーとグループ」を表示するには、どうしたら良いですか? RRS feed

  • 質問

  • 皆様お世話になります
    WHS2011からWSE2012r2にスムーズに切り替えたいの続きになります。

    L2TP/IPsecでWindoesServer2012r2EssentialsにVPN接続するのに、WHS2011とほとんど同じルーター設定なのに、ユーザー承認で失敗するので、原因が分からず困っていました。
    色々情報を集めた結果。コネクタのユーザーアカウント追加で増やした。ローカルアカウントでは、L2TP/IPsec VPN接続用のIDとしては使用できないことが分かりました。実際にサーバーにサインイン出来るIDが必要なようです。実際コネクタで増やしたローカルアカウントでは、WS2012r2Essentialsサーバーにサインイン出来ませんでした。(知らなかった)

    そこで、WS2012r2Essentialsにサインイン出来る。アカウントを使うとあっさりL2TP/IPsecでVPN接続出来ました。

    そこで、L2TP/IPsec専用ローカルアカウント作りたいのですが、コネクターの管理 のシステムツールの中にローカル ユーザーとグループが、有りません。どのようにすれば出てくるのでしょうか。教えてください。


    2016年4月16日 18:05

回答

  • ローカルや RDP でサーバーにログオンできないのは、そのユーザーの権限 (セキュリティ ポリシー) の設定ではないでしょうか。

    Domain Users ではなく Domain Admins のユーザーを作成すると、ローカル ログオン、リモート ログオン共に可能なはずです (試しにやっていただくのは構いませんが、実運用ではできる限り Users でアカウントを作成してそれに必要な権限を追加するようにしてください)。


    hebikuzure


    2016年4月19日 7:03

すべての返信

  • ローカルユーザーとグループを作成しようとすると、”コンピューターXXXは、ドメインコントローラです。このスナップインは使用できません、ドメインアカウントはActive Directoryユーザーとコンピュータで管理します。”と出ます。と言うことは、サインイン用ローカルアカウントが作れないと言うことでしょうか?

    2016年4月16日 18:39
  • 相変わらず、「ローカル ユーザーとグループ」は出てきませんが。
    取りあえず、目的のVPN接続用のユーザーアカウントは出来ました。ダッシュボードでVPN接続用のユーザー(VPN.USER¥DOMEIN)を増やし、それからコントロールパネルのユーザーアカウントで、同じID(VPN.USER¥PC)を追加出来ました。
    でも、色々VPNを操作していて思ったのは、別にVPN.USER¥DOMEINって必要ないんじゃなーい?
    ダッシュボードは普通に別のローカルアカウントでサインイン出来るし。色々悩まずに、最初からコントロールパネルでVPN.USER¥PCを造れば良かっただけでは?(試すの忘れていました。)


    2016年4月17日 2:01
  • > 相変わらず、「ローカル ユーザーとグループ」は出てきませんが。

    ローカル ユーザーとグループの概要」に書かれているように、ドメインコントローラーでは「ローカル ユーザーとグループを使ってローカル ユーザー アカウントおよびローカル グループ アカウントを表示できなくなります」。Windows Server 2012 R2 Essentials をインストールすると自動的にドメインコントローラーとして構成されますから、この動作は正常です。

    またドメイン コントローラー上のユーザーは基本的にすべてドメイン ユーザーとして扱われます。


    hebikuzure


    2016年4月17日 11:01
  • hebikuzure様 お世話になります。

    お返事が遅くなってすみません。つまり、サーバーに管理IDでサインインして、コントロールパネルのユーザーアカウントで、接続アカウント(VPN接続用 ID)をUSERsで作るだけで、ドメインアカウントは自動的にできると言うことで合ってますか。

    接続用、ユーザー名とパスワードがあれば(サーバーの Security Account Managerに登録されれば)、接続後はドメイン用のアカウントに、自分のローカルアカウントを使うので、接続用のドメインアカウントは必要ないんのではと思うのですが、PC上のアカウントとActive Directory 上のアカウントはセットということでしょうか?

    2016年4月18日 7:36
  • DC (ドメイン コントローラー) 上で利用できるアカウントはすべてドメイン アカウント (ドメイン ユーザー) です。DC に VPN 接続してログオンするのであれば、ドメイン ユーザーの資格情報を使うことになります。

    > PC上のアカウント

    この PC というのは何でしょう。ADドメインに参加している PC という事なのでしょうか。

    Windows Server Essentials は WHS と異なり Active Directory の仕組みが生で見える所が少なくないので、いろいろと使い込むのであれば AD の仕組みや動作原理についての勉強をある程度しないと厳しいのではないかと思います。


    hebikuzure


    2016年4月18日 11:28
  • ebikuzure さんお世話になります。

    元がWHS2011のユーザーなので、AD(Active Directory)の概念的な理解が不十分で申し訳ありません。

    workgroup管理では、各PC(サーバも含む)に 同じworkgroup名(WHS2011の場合)とユーザーを登録しないと、相手先の公開ホルダーの中が見られないが、ドメイン管理では、ADに登録すれば、ドメインアカウントで、公開ホルダーにアクセスできる。そのくらいの理解しか出来てません。

    >>PC上のアカウント
    これは、WindowsServerの事で、Serverに直接サインイン出来るアカウントのことです。一例としてビルドインアカウントです。
    だた、L2TP/IPsecでサーバーにVPNアクセスするのに管理者用アカウントは使いたくない無いですよねぇ。でもL2TP/IPsecでサーバーにVPNアクセスするためには、workgroupの時のように直接サーバーにサインインできるアカウントが必要なようです。(何度もテストしました)

    もう一つ実験したことは、ダッシュボードで追加したユーザー(AD上のローカルアカウント)ではネットワーク上からサーバーにアクセスできますが、サーバーに直接サインイン出来ませんでした。

    この2つのアカウントをどう分けて表現すれば良いのか分かりません。

    もう一つ、Microsoft Azure のADとドメインサーバーとのつながりも理解できてません。Azureって何をする物なの?書店に今日も行ってきましたが、参考書すら有りませんでした。”さるにもできる Microsoft Azure”って無いかなぁ。

    もう一つ不思議な事があります。リモートデスクトップで、サーバーにアクセスできるのは、コネクタのインストールされてないPCでないとだめなの?コネクタをインストールしたクライアントPCからRDアクセスすると、接続出来ませんでした。なのにAD上に登録の無いPCからなら、リモートデスクトップで(管理者アカウントで)接続出来るって何なの?
    2016年4月18日 18:18
  • ローカルや RDP でサーバーにログオンできないのは、そのユーザーの権限 (セキュリティ ポリシー) の設定ではないでしょうか。

    Domain Users ではなく Domain Admins のユーザーを作成すると、ローカル ログオン、リモート ログオン共に可能なはずです (試しにやっていただくのは構いませんが、実運用ではできる限り Users でアカウントを作成してそれに必要な権限を追加するようにしてください)。


    hebikuzure


    2016年4月19日 7:03
  • こんにちは、Nasuです。

    >L2TP/IPsec 専用ローカルアカウントを作りたい

    Windows Server 2012 R2 EssentialsはActive Directoryありきの製品です。

    Anywhere Access(VPNやリモートWebアクセスなど)やバックアップなど各機能はWSE専用のグループを作成していたりもします。

    上記要望は想定されている使い方から外れていると考えております。

    (WHS2011と同じように)様々なサービス・機能が複雑に絡んでいるため、基本ダッシュボード以外の設定は行わない事が安定運用につながります。

    >L2TP/IPsecでサーバーにVPNアクセスするのに管理者用アカウントは使いたくない無いですよねぇ

    一般ユーザーもVPN接続が可能ですが、条件があります。

    お使いのPCのOSがPro以上のエディション、ドメインに参加している事です。

    WindowsのHomeエディション(Windows 7 Home PremiumやWindows 8(無印)など)はドメインに参加できないため、一部機能は提供されません。

    条件を満たしユーザーに適切な設定を行う事で接続できます。

    >ダッシュボードで追加したユーザー(AD上のローカルアカウント)ではネットワーク上からサーバーにアクセスできますが、サーバーに直接サインイン出来ませんでした。

    一般ユーザーと管理者ユーザーの違いです。

    管理者ユーザーのみWindows Server 2012 R2 Essentialsに直接サインインできます。

    >Microsoft Azure のADとドメインサーバーとのつながりも理解できてません

    同OSはOffice 365やMicrosoft Intuneと連携するため、Microsoft Azure Active Directory(クラウドの認証基盤)との統合機能を有しています。

    ドメイン ユーザー名とOffice 365のユーザー名を紐づけ、パスワードを統合したります。※Intuneについては割愛

    そのため、(Soloなど個人向けではありません)Office 365を契約していて初めて恩恵を受ける機能です。

    これ以外に、オンプレミス(2012 R2)からAzure上へバックアップするAzure Backup機能が利用できるようになりました。

    こちらはMicrosoft Azure アカウントを作成すれば利用可能です(利用した分の費用はかかります)

    >リモートデスクトップで、サーバーにアクセスできるのは、コネクタのインストールされてないPCでないとだめなの?

    リモートデスクトップについてはWSEの管理者ユーザー アカウントであれば、Windows Server Essentials コネクターの有無に関わらずリモート デスクトップ接続できます。

    >書籍がありません

    私が知っている限りですが、1冊あります。

    ”現場で役立つWindows Server 2012 R2 Essentials 構築・運用ガイド”

    こちらの本は製品を網羅しているので役立つでしょう。

    または(既に読まれているかもしれませんが)Microsoft Technet ライブラリを熟読してはどうでしょうか。

    難しい表現もありますが、今回説明されている内容は全て書かれています。

    見つけるのが大変ですが、基本的なところからDeepな内容まで説明されているので大変役立ちます。


    ★良い回答、解決した場合には「回答済み」マークを付けてましょう!

    Satoru Nasu

    Microsoft MVP Cloud and Datacenter Management

    Blog:元「なんでもエンジニ屋」のダメ日記

    Facebook:元「なんでもエンジニ屋」のダメ日記



    2016年4月20日 7:57
  • Hebikuzure様どうもお世話になります。

    Domain Admins が、サーバーに管理者でサインインして、ユーザーアカウントを追加で管理者権限を持たせたアカウントと言うことでしたら、VPNの接続ユーザーIDとして使えました。

    ただ、ダッシュボードからそのIDの権限が制限が出来ません。(管理者と同じです)これから調べてみますが、どうもありがとうございました。

    2016年4月20日 14:24
  • Nasu様お世話になります。

    元「なんでもエンジニ屋」のダメ日記。いうも参考にさせていただいてます。トラブったときは非常にためになります。ありがとうございます。

    ユーザーが1人 事業所が3カ所 接続PCが(数したことが無いが)10台以下と言う環境ではMicrosoft Intune は、不要のようですね!教えていただいてありがとうございます。(はっきり言ってWHS2011が一番使いやすいのですがねぇ)
    エクスペリエンスが、ダッシュボードだと言うことをつい最近理解しました。そのくらいWindowsServer2012r2については、何も知りません。

    Office 365 は Premiam のユーザーです。複数人数は管理しなくて良いので、 SherePoint で公開ホームページを作って、クライアント(50名ほど)の請求残高がクライアント自身の携帯で調べられるように出来たら良いなと思っています。

    >”現場で役立つWindows Server 2012 R2 Essentials 構築・運用ガイド”
    今日買ってきた本が、そのものずばりでした。(^o^)

    2016年4月20日 15:17