FC2ブログ
MSLabo: MCP取得や実務用に自宅でWindowsサーバを検証・自習してます&たまに日記
自宅サーバにて、Windows 2008, MSCS, Active Directory, Exchange, Sharepoint, System Center(SCCM, SCOM, FCS), SQL Serverの自習、検証をした内容を記載していきたいと思います。
スポンサーサイト
--年--月--日 (--) --:-- | 編集
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
節電対応2 -Managing Power with Group Policy-
2011年05月25日 (水) 18:12 | 編集
こちらのページを見ていくと、XPでもポリシーで電源設定をかける
ことができそうです

Managing Power with Group Policy: Part 1 of 3

XPとかでは「Group Policy preferences client side extensions」というものを
入れないとダメなようで。。
Windows 2008のadmxを使えば、DCが2003のみでも設定できるのかな?。。
スポンサーサイト
今流行りの?節電、用グループポリシーの設定をやってみた
2011年05月25日 (水) 18:07 | 編集
15分でモニタ切る、30分でスタンバイのような設定をユーザに
強制したいというリクエストを受けて。。

以下のURLを参照し、スタートアップスクリプトとログオンスクリプトを
組み合わせてクライアントはXPで実現

■Windows PC の電力設定展開方法
http://download.microsoft.com/download/E/0/9/E098064F-71B4-4CDB-AF7F-D5EC7B544B7F/winpc_pwrming.docx

※スタートアップスクリプトとログオンスクリプトのスクリーンショットが
 結構間違ってます。。

スタートアップスクリプトでsubinaclを使って一般ユーザ権限でも
電源関連設定をいじれるようにレジストリのアクセス権を変更

ログオンスクリプトでpowercfgコマンドにて電源設定

という流れになります。

ちなみに設定をやっぱりポリシーかける前に戻したいと思った場合、
subinaclで権限をエクスポートしておかないと私の環境では元に戻せませんでしたと。

・バックアップ方法
subinacl /subkeyreg "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Controls Folder\PowerCfg" <任意のバックアップファイル名>
subinacl /subkeyreg "HKEY_USERS\.DEFAULT\Control Panel\PowerCfg" <任意のバックアップファイル名>

・リストア方法
subinacl /playfile <バックアップファイル名>

setspn.exeコマンドメモ
2011年04月05日 (火) 17:17 | 編集
■追加
setspn -a MSSQLSvc/サーバ名:1433 ユーザ名
setspn -a MSSQLSvc/サーバ名.xxxx.local:1433 ユーザ名

■確認
setspn -l ユーザ名

■削除
setspn -d MSSQLSvc/サーバ名:1433 ユーザ名
ユーザのSIDとGUIDを調べる
2011年04月05日 (火) 17:15 | 編集
SIDは、Sysinternalsの「PsGetSid」を
GUIDは、少し悩み探した結果、「ADFind」というツールで
以下のようにコマンド実行

> adfind -b dc=xxxx,dc=local -f (sAMAccountName=TestUser) objectGUID


■実行結果
dn:CN=TestUser,OU=xxxx,OU=xxxx,DC=xxxx,DC=local
> objectGUID: {6A7BC3AC-F0F7-4DCA-8FD7-DBB4216xxxxx}
ADユーザのパスワード変更情報を一覧で表示(VBScript)
2011年03月21日 (月) 12:15 | 編集
運用中のドメイン内のユーザで、一度もログオンしていない
( = 「初回ログオン時にパスワード変更が必要」のチェックがついている)
ユーザをリスト化したく、VBScriptを作成してみました。

■参考URL
MSDN パスワードの有効期限はいつまでですか
PowerShellでもできそう(http://serverfault.com/questions/58720/powershell-how-do-i-query-pwdlastset-and-have-it-make-sense)

■動作内容
LDAPで指定したOU内の全ユーザアカウントのSAM, Description,ユーザ作成日時,
パスワード変更日時(変更していない場合は変更なしを表示)をカンマ区切りで一覧表示します。

On Error Resume Next

Const ADS_SCOPE_SUBTREE = 10

Set objConnection = CreateObject("ADODB.Connection")
Set objCommand = CreateObject("ADODB.Command")
objConnection.Provider = "ADsDSOObject"
objConnection.Open "Active Directory Provider"
Set objCommand.ActiveConnection = objConnection

objCommand.Properties("Page Size") = 1000
objCommand.Properties("Searchscope") = ADS_SCOPE_SUBTREE

objCommand.CommandText = _
"SELECT ADsPath FROM 'LDAP://ou=xxx,ou=xxx,dc=xxx,dc=local' WHERE objectCategory='user'"
Set objRecordSet = objCommand.Execute

objRecordSet.MoveFirst

Do Until objRecordSet.EOF
strPath = objRecordSet.Fields("ADsPath").Value
Set objUser = GetObject(strPath)

Const E_ADS_PROPERTY_NOT_FOUND = &h8000500D

passwordLastChanged = objUser.passwordLastChanged

If Err.Number = E_ADS_PROPERTY_NOT_FOUND Then
passwordLastChanged = "パスワード変更履歴なし"
End If

Wscript.Echo objUser.samaccountname &","&objUser.description &","&objUser.whenCreated & " GMT,"&passwordLastChanged

objRecordSet.MoveNext
Loop


■実行結果例
test11,,2005/12/10 5:47:54 GMT,2005/12/10 14:47:54
xx00000000,テスト ユウコ,2008/03/30 16:16:21 GMT,パスワード変更履歴なし
xx00000001,テスト シロ,2006/07/12 19:36:16 GMT,パスワード変更履歴なし
xx00000002,テスト トク,2006/07/12 19:36:18 GMT,パスワード変更履歴なし
xx00000003,テスト サキ,2006/07/12 19:36:19 GMT,パスワード変更履歴なし
xx00000004,テスト ルマ,2006/07/12 19:36:19 GMT,パスワード変更履歴なし
xx00000005,テスト テストテン,2006/07/12 19:36:20 GMT,パスワード変更履歴なし
特定の期間に作成されたユーザアカウントを検索するスクリプト
2011年02月10日 (木) 17:39 | 編集
■MSのページにあったものを簡単に変更


On Error Resume Next

Const ADS_SCOPE_SUBTREE = 10 'OU10階層まで検索

dtmCreationDate1 = "20110210000000.0+0900" '開始日時 GMT +9H
dtmCreationDate2 = "20110211000000.0+0900" '終了日時 GMT +9H

Set objConnection = CreateObject("ADODB.Connection")
Set objCommand = CreateObject("ADODB.Command")
objConnection.Provider = "ADsDSOObject"
objConnection.Open "Active Directory Provider"
Set objCommand.ActiveConnection = objConnection

objCommand.Properties("Page Size") = 1000
objCommand.Properties("Searchscope") = ADS_SCOPE_SUBTREE

objCommand.CommandText = _
"SELECT Name, whenCreated FROM 'LDAP://ou=xxxx,ou=xxxxx,dc=xxxxx,dc=local' WHERE objectClass='user' " & _
"AND whenCreated>='" & dtmCreationDate1 & "' AND whenCreated<='" & dtmCreationDate2 & "'"
Set objRecordSet = objCommand.Execute

objRecordSet.MoveFirst

Do Until objRecordSet.EOF
dtmCreated = objRecordSet.Fields("whenCreated").Value
dtmCreated = DateAdd("h", +9, dtmCreated) 'GMT +9H
Wscript.Echo objRecordSet.Fields("Name").Value, dtmCreated
objRecordSet.MoveNext
Loop


※日時指定がポイントでしょうか。以下を参考にしました
http://gallery.technet.microsoft.com/scriptcenter/1290cb9b-a047-40aa-9c11-854536d37150/
http://gallery.technet.microsoft.com/scriptcenter/f2bda8cc-8f7a-4720-a1bd-6e3a58b95f33/
F# ってなんやねん。。
2010年10月26日 (火) 15:47 | 編集
もしかして、乗り遅れてる? きっとC#のパワーアップVer?
以下のMSのAD, ILMチームの方のブログのフィードを見て発見しました

[ADSI] F# で System.DirectoryServices を使ってみる - 管理者は見た!~AD と ILM 一家の秘密~ - Site Home - TechNet Blogs

だいぶ前の記事であることに気づき、最近めっきりそういう情報に目を通せてないなぁと反省
Visual Studio 2010から「F#」ってのが出てきたのね。。
ロックアウトされているはずのユーザアカウント情報が反映されていない
2010年10月03日 (日) 16:47 | 編集
以下、高橋基信様の記事を参考
ドメインのアカウントがロックアウトされても,管理ツールにされていないと出る

要するに同一サイトのドメコンには即座に情報は反映されるけど、
サイトが違う場合は、サイト間レプリケーションに乗ってきますと (合ってるかな。。?)
アカウントロックアウトをセキュリティログから追っていく手順
2010年10月03日 (日) 16:43 | 編集
以下のAD TeamのTechnet Blogを参照(ドメコンが大量にある場合は、きつい。。)
アカウントがロックアウトされる - Ask the Network & AD Support Team - Site Home - TechNet Blogs
EventCombMTにてイベント ログでアカウント ロックアウトを検索する
2010年10月03日 (日) 16:38 | 編集
最近、アカウントロック関連で質問されることが多い。
ドメインコントローラが大量にあると、セキュリティログから情報を特定することは
イベントログを普通に見ているだけではほぼ不可能。。

以前、一度試してみようと思っていた、以下のツールの存在をいろいろ調べていて思い出した

・Account Lockout and Management Tools  このツールに「EventCombMT」は含まれているようです
・Account Lockout Status (LockoutStatus.exe)

以下のようにGUIにて「Account Lockouts」を選択し、サーバを追加していけばOKかと
いろいろ詳しく試してみま~す
キャッシュでログオンした際にダイアログメッセージを表示する
2010年08月06日 (金) 17:42 | 編集
ちゃんとグループポリシー適用されてる?
ログオン認証されてる?

というときにキャッシュログオン時にメッセージを表示させる方法
User is not alerted when logging on with domain cached credentials

以下のようなダイアログが表示されるようですね。
Windowsクライアント(XP)がドメインログオンに時間がかかるというので調査した
2010年07月02日 (金) 16:34 | 編集
よくある話ですが、ここ最近、ある拠点のPCでこの現象が多いということで
ドメインログオンに時間がかかる原因をどう調べようかと調査したMEMO

・ログオン処理に時間がかかるときに調査する方法を知りたい - Windows読者限定:ITpro
・Understanding How to Read a Userenv Log – Part 1 - Ask the Directory Services Team - Site Home - TechNet Blogs

上記よりUserenv.logを取得し、目がチカチカしながらもチェックしていく。
何となく、ログオン時に何をしているか分かりますね

テスト環境では試せたので、そのうち問題のクライアントPCの内容を確認したいと思います。
特定の一般ユーザにアカウントロック解除を委任する
2010年05月14日 (金) 12:24 | 編集
ちょっと尋ねられたので調べた結果をMEMO

アカウントのロック解除のアクセス許可を委任する方法
Adminpak.msi を使用して Windows に特定のサーバー管理ツールをインストールする方法

ADの管理ツールだけを個別に指定してインストールできるってことを知りませんでした。。
いつも自分が管理者ってことが多いのであまり委任も設定してことなかったですが、
勉強になりました
ドメイン内のロックアウトしたすべてのユーザのロックを解除するVBS
2010年04月19日 (月) 18:28 | 編集
> cscript ファイル名で実行


Set objConnection = CreateObject("ADODB.Connection")
Set objCommand = CreateObject("ADODB.Command")
objConnection.Provider = "ADsDSOObject"
objConnection.Open "Active Directory Provider"
Set objCommand.ActiveConnection = objConnection

'検索ユーザ数で変更
objCommand.Properties("Page Size") = 1000

objCommand.CommandText = "<LDAP://dc=xxxxx,dc=local>;(&(objectCategory=User)" & "(lockoutTime:1.2.840.113556.1.4.804:=4294967295));Name,distinguishedName;Subtree"

Set objRecordSet = objCommand.Execute

WScript.Echo "ドメイン内のユーザのロックアウト解除を開始します。解除したユーザが表示されます"

Do Until objRecordSet.EOF
Wscript.Echo objRecordSet.Fields("Name").Value

strUser = objRecordset.Fields("distinguishedName")
Set objUser = GetObject("LDAP://" & strUser)
objUser.IsAccountLocked = False
objUser.SetInfo

objRecordSet.MoveNext
Loop

WScript.Echo "ドメイン内のユーザすべてのロックアウトを解除しました"


ウイルスにユーザを大量ロックされてしまったときなどに。。
スタートアップスクリプトからリモートサーバのイベントログへ書き込む
2010年04月06日 (火) 11:09 | 編集
スタートアップスクリプトからeventcreateコマンドでリモートサーバへ
イベントログを記載しようとするとできない。。

ドメイン環境ではスタートアップスクリプトからのリモートへのアクセスは
「Domain Computers」権限となるようで
以下のURLなどを参考に、リモートサーバのアプリケーションログへ権限を追加して
書込みができるようになりました

Windows Server 2003 のイベント ログのセキュリティをローカルまたはグループ ポリシーで設定する方法
セキュリティ設定を記述するSDDL文字列とは?

SDDLはDomain Computers = DC でした
Powered by . / Template by sukechan.
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。