none
【Active Directory】ユーザ切替でドメインユーザを変更するとPC名変更をする場合に管理者権限があってもパスワードを聞かれます。 RRS feed

  • Frage

  • ユーザ切替でドメインユーザAからドメインユーザBに変更を行うと、PC名の変更の時にドメインユーザBにローカルの管理者権限が付与されていても、ユーザ名とパスワードを入力するように促されます。 
    ユーザ名とパスワードはドメインユーザAの情報を入力すれば変更が可能なのですが、何故ドメインユーザBの権限では変更ができないのでしょうか? 
    PC名変更以外であれば、管理者権限で実行できることは確認ができています。 
    ご教示の程よろしくお願い致します。
    Dienstag, 30. November 2021 02:14

Antworten

  • チャブーンです。

    この件ですが、クライアントのコンピューター名をかえる際に資格情報が必要だった、という場合ですが、Active Directoryの「コンピューターアカウント」についても、名前を変える必要があり、その権限のために要求されたように思います。

    上記で「ドメイン管理者」が対象であれば問題ないと思いますが、ドメイン参加時「一般ユーザー」権限でドメイン参加した場合、そのユーザーでないとコンピュータアカウントの属性変更ができないため、そういうことになっているように見受けられます。

    実用上問題ないので、気にしなくていいと思いますが、何が何でもやめさせたいという場合、該当コンピューターアカウントのアクセス権限を変更するか、アカウント自体を作り直す=ワークグループに参加後、コンピューターアカウントをいったん削除し再参加、すればよいと思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • Als Antwort markiert MaYuKi3 Dienstag, 30. November 2021 07:26
    Dienstag, 30. November 2021 05:24

Alle Antworten

  • それぞれのユーザーで

    whoami /groups

    を実行して、所属しているローカル グループに差異がないか確認してみましょう。


    Hebikuzure aka Murachi Akira

    Dienstag, 30. November 2021 04:01
  • チャブーンです。

    この件ですが、クライアントのコンピューター名をかえる際に資格情報が必要だった、という場合ですが、Active Directoryの「コンピューターアカウント」についても、名前を変える必要があり、その権限のために要求されたように思います。

    上記で「ドメイン管理者」が対象であれば問題ないと思いますが、ドメイン参加時「一般ユーザー」権限でドメイン参加した場合、そのユーザーでないとコンピュータアカウントの属性変更ができないため、そういうことになっているように見受けられます。

    実用上問題ないので、気にしなくていいと思いますが、何が何でもやめさせたいという場合、該当コンピューターアカウントのアクセス権限を変更するか、アカウント自体を作り直す=ワークグループに参加後、コンピューターアカウントをいったん削除し再参加、すればよいと思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    • Als Antwort markiert MaYuKi3 Dienstag, 30. November 2021 07:26
    Dienstag, 30. November 2021 05:24
  • ご意見ありがとうございます。

    whoami /groups コマンドを実行したところ、相違点は以下となりました。

    Aドメインユーザ↓

    グループ名                             種類                 SID          属性                                    
    ====================================== ==================== 

    BUILTIN\Administrators                 エイリアス           S-1-5-32-544 拒否のみに使用するグループ              

    Bドメインユーザ↓

    グループ名                           種類                 SID          属性                                                    
    ==================================== ==================== 

    BUILTIN\Administrators               エイリアス           S-1-5-32-544 固定グループ, 既定で有効, 有効なグループ, グループ所有者

    他の箇所は全て一緒です。調べましたが、この差異が原因ではないように思えます。

    Dienstag, 30. November 2021 05:39
  • ローカル側の権限の差異ではないと思います。

    ドメイン側の権限や、変更対象となっているコンピューター オブジェクトのアクセス権の問題でしょう。その辺りを確認すると良いかと思います。

    ※現象が起きるクライアントは特定のものだけなのか、ドメイン内のすべてのクライアントなのか、という点も切り分けになるでしょう。


    Hebikuzure aka Murachi Akira

    Dienstag, 30. November 2021 05:45
  • チャブーン様

    、ドメイン参加時「一般ユーザー」権限でドメイン参加した場合、そのユーザーでないとコンピュータアカウントの属性変更ができないため、そういうことになっているように見受けられます。

    >>

    ADサーバにログインを行い、コンピュータアカウントの権限を確認したところ、ドメインユーザBの権限が存在しておりませんでした。試しにフルコントロールでドメインユーザBを追加したところ、ユーザ名とパスワードを聞かれなくなりました。

    原因が分かりとてもすっきりしました。

    ありがとうございました。


    Dienstag, 30. November 2021 07:26
  • コンピューター オブジェクトのアクセス権限の問題でした。

    ご教示ありがとうございました。

    Dienstag, 30. November 2021 07:27