カテゴリー: ActiveDirectory
ActiveDirectoryの入ったサーバとLDAPでSSL通信を行うためには、ドメインの証明書とサーバ証明書を入れたキーストア(keystore)を作成する
Windows ファイル共有したのにつながらない場合の話
毎回毎回ファイル共有でのアクセスにははまる。
「要求された種類のログオンは、このコンピューターではユーザーに許可されていません。」
なんてことになったら。
ローカルポリシーを疑おう
ローカルポリシー->ユーザ権利の割り当て->ネットワーク経由でコンピュータにアクセス
ここになにが登録されているだろう。
君の所属しているグループはいるかい?
いなければ入れよう。
ActiveDirectoryサーバ配下のサーバーの場合はここで設定するのではなくて、ドメインコントローラのグループポリシーで設定しよう。
信頼関係接続している他のドメインからのアクセス等ではここが要注意ポイント。
共有にグループを登録してもポリシーではねられたらしょうがないね。
ActiveDirectoryからユーザを抜き出して他のActiveDirectoryに入れる
ldifde コマンドで抜き出す
C:\Documents and Settings\Administrator>ldifde -d "CN=Users,DC=example,DC=co,DC=jp" -f d:\foo.txt -u -l "cn,givenName,sn,objectclass,samAccountName,userPrincipalName,displayName,name"
-l 属性リストを指定しないといろいろついてきて、インポートの時にエラーになる。
-u が付いているのは、unicode にするということ、unicode じゃないと日本語が読めない。
出力されたファイルからグループなどの余計なレコードを削除する。
ldifde コマンドで入れる
C:\Documents and Settings\Administrator>ldifde -i -f d:\foo.txt -u
ldifdeコマンドでインポートしたユーザーアカウントは無効化した状態になっているので、インポート後に個別に有効化する必要がある。パスワードは空白になっている代わりに、次回ログオン時にパスワードの変更を求める設定になっている。
補足説明
こんなのが出てきたら ドメイン名が正しいか疑おうまたは、抜き出す時に変なものを抜き出しているかも
サーバー側のエラー: 0x209a 属性がセキュリティ アカウント マネージャー (SAM) によって所有されているため、属性にアクセスできません。