初期設定
ドメイン参加後のadministratorユーザにてグループポリシーとローカルセキュリティポリシーが両方適応される場合がある。
管理者が遭遇したのは、
グループポリシーでパスワード変更要求を受け、
ローカルグループポリシーでもパスワード変更要求を受けた。
解決策
- administratorのパスワードの変更要求はいらない。自分で定期的に変更する場合 グループポリシーから外します。
↓にやり方を見つけました。
http://office-qa.com/win/win37.htm
- ローカルポリシーの設定を変更します。
「ローカルセキュリティポリシー」
|_セキュリティの設定
|_アカウントポリシー
|_パスワードのポリシーデフォルトは以下のようになっている
パスワードの長さ:7文字以上 パスワードの変更禁止期間:1日 パスワードの有効期限 :42日 パスワードの履歴を記録する:24回 暗号化を元に戻せる状態でパスワードを保存する:無効 複雑さの要件を満たす必要があるパスワード:有効
上記のパスワード有効期限を0日にすればOK
ただし、ドメイン参加後は変更できないため、ローカルadministratorユーザでログインし、変更すること
adサーバのadministratorのように上記設定ができない場合
active directoryのadministratorの設定変更を行います。
パスワードの有効期限を無期限にするにチェック
グループポリシー設定
http://assimane.blog.so-net.ne.jp/2012-05-11
バックアップ
バックアップを取るために、「windows serverバックアップ」があるが、これだと1日単位でのバックアップしかとれない。
なので、タスクスケジューラを使用する。
その際にbatファイルを作成。 コマンドは以下を参照 http://technet.microsoft.com/ja-jp/windowsserver/ff606466.aspx
・完全バックアップはバックアップファイルがないときにしかできない。 そのため、完全バックアップが必要な際は、バックアップしたディレクトリを削除するか別ディレクトリに移動する必要がある。
イベントログ セキュリティ
ドメインユーザーのログオン/ログオフの状況を監査したいがどうやるのか
スクリプトを作成し、自分で管理を行う。
※参考ページ
http://www.monyo.com/technical/windows/35.html
http://moon.my.coocan.jp/3948/wiki.cgi?page=2008+Active+Directory%A4%C7%A5%ED%A5%B0%A5%AA%A5%F3%A1%A6%A5%ED%A5%B0%A5%AA%A5%D5%B4%C6%BA%BA.sys
http://itpro.nikkeibp.co.jp/free/NT/WinReadersOnly/20040415/17/
