 |
 |
Tweet | Share |
ActiveDirectoryに参加しているマシンでは、デフォルトでActiveDirectoryへのログインを行います。
(入力したユーザ名は、ActiveDirectoryユーザ名として解釈されます)
ローカルアカウントにログインするには、マシン名\ユーザ名 または ユーザ名@マシン名 を使います。
しかし、長いマシン名の場合、毎回入力するのが面倒ですね。
そんなときのために(?)、
.\
という省略記法が存在するようです。
http://www.atmarkit.co.jp/fwin2k/win2ktips/1221lloglon/lloglon.html
早速、shinygoldというマシンを使う同僚に教えておきました。
これで、今後 lightgoldenrodyellow とか hecatoncheires などの長い名前を付けても安心ですね。
|
 |
Tweet | Share |
ActiveDirectoryと連携していると、Linuxでもスペース入りグループ名をよく使います。
ユーザ名やグループ名にスペースが入っていると、引数の指定がおかしくなってしまうので、バックスラッシュでエスケープしましょう。ダブルコーテーションで囲ってはダメです。
$ chown LAB+baba:LAB+domain\ users hogefile
簡単ですが気づくまで地味に困っていました。
|
 |
Tweet | Share |
ファイルを一覧表示するとき、
ls -l
をすればファイルの所有者、所有グループが確認できます。
しかし、ユーザ名がむやみやたらと長いとき、途中で切れてしまうことがあります。
特に、ActiveDirectoryと連携するとグループ名が「ドメイン名+domain users」などになるため、危ないです。
[/home] # ls -l drwxrwxrwx 17 LAB+inte LAB+doma 4096 Mar 26 09:29 baba/ drwxrwxrwx 3 LAB+admi LAB+doma 4096 Mar 26 08:35 peter/
domain usersかdomain adminsかどっちだよ!という感じですね。
ちゃんとしたLinuxなら回避法がありそうですが、今回はQNAPのNASでこの問題が発生しました。
組み込みLinuxなので、コマンドやlsのオプションが少なくて、良い回避策が見つかりません。
そこで、完璧ではないですが、以下の方法を教えてもらいました。
ls -ln
これで、ユーザ名・グループ名の代わりにユーザID・グループIDが表示されるため、面倒ですが事足ります。
|
 |
Tweet | Share |
ActiveDirectory環境で、一般ユーザがクライアントPCでパスワードを変更するには、Ctrl+Alt+Deleteを押します。
ここでパスワードの変更を選べばパスワードが変更できるはずですが、
パスワードを変更できませんでした。新しいパスワードとして指定された値は、パスワードの長さ、複雑さ、または履歴に関するドメインの要件を満たしていません。
と言われてしまうことがあります。
この場合は、以下を試してみます。
「Windows2008」などの、複雑さの要件を満たすパスワードを入れてみる
これでOKなら、グループポリシー「パスワードは複雑性の要件を満たす必要がある」が原因です。
嫌なら、これを無効にします。
これでもだめなら、「パスワードの変更禁止期間」が邪魔をしている可能性があります。
デフォルトでは、1週間程度のパスワード変更禁止期間が設定されていて、1日2回変更しようとすると上記のエラーが出るようです。
Default Domain Policyなどで「パスワード変更禁止期間」を0日に設定すれば直りそうです。
どういうわけだか、パスワードのポリシーだけはドメインコントローラーのポリシーが適用されることもあるような、そんな挙動をするので、Default Domain PolicyとDefault Domain Controller Policyの両方で
・パスワード変更禁止期間 → 0日
・パスワードの履歴を保存する → 無効
と設定しておくと良いと思います。
もちろん、ユーザの設定で「ユーザはパスワードを変更できない」にチェックが入っていないか確認し、gpupdate /force を実行するか再起動しておく必要があります。
|
 |
Tweet | Share |
ActiveDirectoryを使う環境では、DNSサーバがSRVレコードをサポートしている必要があります。
(通常のDNSだとDomainControllerを検索する際にエラーになってしまいます)
BINDなどのDNSサーバで設定することも可能ですが、かなり面倒なので、Windows ServerをプライマリDNSにしてしまうのが手っ取り早いですね。
ところが、Windows ServerをプライマリDNSにしているActiveDirectory環境で、LANから公開サーバを検索しようとしたら、少しだけ困ったことになりました。
公開サーバ(WAN/LANの2つのIPを持つ)の名前をwwwとすると、
DNSサーバ:192.168.1.50
公開サーバ:192.168.1.10 , 203.143.124.180
期待する結果
C:> nslookup www.bpsinc.jp
サーバー: UnKnown
Address: 192.168.1.50名前: www.bpsinc.jp
Address: 192.168.1.10
残念な結果
C:> nslookup www.bpsinc.jp
サーバー: UnKnown
Address: 192.168.1.50名前: www.bpsinc.jp.bpsinc.jp
Address: 203.143.124.180
このように、bpsinc.jpのサフィックスが無駄にくっついてしまいます。
これは、ネットワーク設定→TCP/IP(IPv4)設定→詳細設定→DNS で、以下のようにDNSサフィックスを手動設定すれば直ります。
ローカルでここを変更してもOK
グループポリシーで一括設定するには、コンピュータの構成→ポリシー→管理用テンプレート→ネットワーク→DNSクライアント→DNSサフィックス検索一覧 で設定すればOKです。
グループポリシーでDNSサフィックス設定
もちろん、www.bpsinc.jp. のように最後にピリオドをつければ何もしなくてもOKなのですが、
WindowsのFQDN判定はあまり賢くないということでしょうか?
COPYRIGHT [C] 2009 BEYOND PERSPECTIVE SOLUTIONS LTD. ALL RIGHTS RESERVED.