memo.

タグ: AD

  • メモ:無料のEntraIDではPCの特権ユーザ管理を行う

    Microsoft365 Apps for BusinessのM365アカウントを使って、PCを管理する方法を試行錯誤している。

    • M365のEntraIDで、新しいPCにログインすると管理者にはなる。最初のM365ユーザは管理者なので、PCのローカルアカウントを作成することはできる。最初にログインした段階でEntra IDにデバイスは追加された状態になっている。
    • その後、セットアップして、別のM365のユーザで、そのPCにログインはできる(Entra IDにはデバイスが登録されているので)。
    • その追加したM365のユーザを管理者にしたくて、PC側で管理者ロールに、M365ユーザを追加しようとしたができない。
    • Entra IDの管理画面で、デバイスのローカル管理者として、M365ユーザを指定しようと試みるが、ロールの追加はできなし、ローカル管理者の追加のメニューも出ていない。 調べてみると、「Microsoft Entra ID P1 または P2 ライセンスが必要」とのこと。
    • なんとかして、PCのAdministratorsグループに、M365ユーザを追加する方法がないかと調べて試してみると、コマンドを使ってグループに追加すると成功することがわかった。 コマンド

    net localgroup administrators /add "AzureAD\UserUpn"

    • コマンドが成功した後、Administratorsグループを見ると、コマンドで追加したユーザが追加されている。追加したユーザでサインインして、アカウントを確認しても、管理者になっていた。

    やりたかったことは、一応成功。ただ、EntraID P1とかのライセンスがあった方が柔軟だし、楽に管理できるな、とは思う。

    マニュアルのページ https://learn.microsoft.com/ja-jp/entra/identity/devices/assign-local-admin

  • Windows 2000 Serverは、Windows Server 2022のADに参加できない

    Windows Server 2022で作成したAD(機能レベル2016)に、Windows 2000 Serverを参加させようとしたが、エラーによりドメインに参加できなかった。

    ドメイン "xxxxxx.domain" に参加中に次のエラーが発生しました:
指定されたネットワーク名は利用できません。

    原因は、CIFSなどのプロトコルのバージョンが低いもの(セキュリティリスクがあるもの)を許可していないためと思われる。参加できるかどうかの実験だったので、通常状態ではWindows Server 2022で作成したADに、Windows 2000 Serverは参加できない、という結果が出たので満足。

  • Windows Server 2022で作成したADの機能レベルは2016

    Windows Server 2022で新しく作成したActive Directory(AD)のドメイン機能レベルはWindows Server 2016。

    Windows Server 2019やWindows Server 2022では新しく、ドメイン機能レベルは追加されていないため、機能レベルはWindows Server 2016で作成される。

  • 「Azure Active Directory は Microsoft Entra ID になります」って・・・

    Azure Active Directory(Azure AD)が名称変更を行うとのこと。新しい名前は、Microsoft Entra ID。わかりにくい。

    製品群は変えてもよいと思うけれど、Azure ADのところまで変える必要はなかったような気がする。この先の読み替えとか、会話が混乱する気しかしない。それに、どこかに落とし穴とかありそうで怖い。結果的に、セキュリティ事故につながらなければいいのだけど。注意しないといけない。

    https://forest.watch.impress.co.jp/docs/news/1515912.html

  • 企業用のMicrosoft 365でログイン時に2段階認証を求められるようになった。

    企業用のMicrosoft 365でログイン時に2段階認証を求められるようになったと、急に言われ始めた。もともとMFAのところは設定していないので、2段階認証が求められるはずはないはずだが。

    念のため調べてみると、Microsoft 365の画面の「ホーム > セットアップ > 多要素認証 (MFA) の構成」で、「完了」のところに緑チェックマークがついている。

    ここの管理をクリックすると、Azure ADの管理画面が開く。概要のプロパティのタブを開くと、「お客様の組織は、セキュリティの既定値群で保護されています。」に緑チェックマークがついている。セキュリティの規定値で、MFAが有効化されているので、M365のログイン時に、2段階認証のMicrosoft Authenticatorの登録が促されていた。MFAを無効化する場合は、ここの「セキュリティの既定値の管理」をクリックして、設定を変更する。

    この規定値については、下記の「Japan Azure Identity Support Blog」にあるように、自動的に有効化されたため。

    2022 年 6 月末から「セキュリティの既定値群」の有効化が促されます (対象 : 一部のテナント)
    https://jpazureid.github.io/blog/azure-active-directory/security-default-2022/

  • SYSVOLの物理パス

    ADでログオンスクリプトを実行する際に、保存する先のSYSVOLの物理パスのメモ。

    ログオンスクリプトなどを変更する際、ネットワーク共有からだと、変更権限がないため、ADのサーバ上で行わないといけない。そのときの物理的なパス。

    C:\Windows\SYSVOL\sysvol\

    sysvolのあとには、ADのドメイン名が続く。あとはフォルダを掘り下げていく。

  • AD環境で「一時プロファイルでログインしています」が表示され、正常にログインできない

    AD環境のPCで、「C:\Users\ユーザ名」のフォルダを消したら、そのユーザのログイン時に「一時プロファイルでログインしています」
    が表示され、正常にログインできなくなった。このような症状になった場合は、Windowsのレジストリ上にあるプロファイルを記述を削除する

    対処方法

    1. 「Windows」キーと「R」キーを同時押しする
    2. 「ファイル名を指定して実行」の欄に「regedit」と入力し、Enter
    3. レジストリエディターが開くので、以下のキーを探す 
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
    4. 「S-1-」から始まるキーを1つ1つみていき、削除したユーザ名を探す
    5. 削除したユーザ名と同じキーを右クリックし、「削除」を選び消す
    6. エラーになっていたユーザでログオンを試し、正常にログオンできるかを確認する

    ◇参考

    https://support.microsoft.com/ja-jp/help/947215/you-receive-a-the-user-profile-service-failed-the-logon-error-message

  • Active Directoryに登録されたコンピュータの一覧を出力する

    AD(Active Directory)に登録されたコンピュータの一覧を出力するにでは、”csvde”コマンドを使用する。

    コンピュータの一覧をファイルで出力するには、以下のコマンドを実行する。

    csvde -u -f 出力するファイルのパスと名前 -r objectCategory=computer

    実行例)

    csvde -u -f C:\Users\administrator\Desktop\computer-list.csv -r objectCategory=computer

    1000台程度のコンピュータがADに登録されていたが、ほんの数秒で実行が終わった。

  • ADの現在の「ドメインの機能レベル」と「フォレストの機能レベル」の調べ方

    この前、しらべようとしたときに、ちょっと止まったのでメモしておく。

    1. ADサーバにログオンする
    2. 「Active Directory ユーザーとコンピュータ」を起動する
    3. 左側のツリーから、ドメインを選択する(コンピュータのマークが3つくらい重なっているところ)
    4. 右クリックして、プロパティを開く
    5. プロパティの全般タブに「ドメインの機能レベル」と「フォレストの機能レベル」が記載されている。

    ■メモ

    ・各機能レベルで有効になる機能に関する付録
      http://technet.microsoft.com/ja-jp/library/cc771132%28v=ws.10%29.aspx

    ・Windows 2000 混在モードは、Windows Server 2003 R2まで。
    Windows Server 2008 からは、Windows 2000 ネイティブ。

  • Windows Azure Active Directory(AD)が正式にリリースですか。

    ついにWindows Azure Active Directory(AD)が正式にリリースされた。

    これは、何気ない1つのリリースだけど、クラウド利用を考える企業にとっては大きな出来事。
    社内(オンプレミス)のADと連携ができて、そのままクラウド環境で使えるわけだ。
    いちいち、ユーザやパスワードをPowerShellを使ったりして同期したりしなくても良い。
    それだけ運用コストは下がるし、導入するときの障壁も減るわけだ。
    Azureの開発環境だけでなく、Office 365でも・・・となると本当に便利そう。
    MSのことなので、最初はどこまで安定して使えるかわからないが、
    これは期待できそうなリリースだ。

    本当に複数のID管理や権限管理はめんどくさいので、
    楽に一元管理できるようになると便利。
    特にオンプレミスでExchangeやSharepointを使っている場合は効果大かもね。

    料金体系などは気になるけど、
    もうちょいしたら、Azureで業務用のアプリ開発でもやってみようかな。
    それくらいの衝撃だな。

    http://www.atmarkit.co.jp/ait/articles/1304/09/news100.html