したがって、2つのドメインコントローラーDC1
とDC2
を備えたWindowsActive Directoryドメインがあり、どちらもWindows Server 2008R2を実行しています。 DC1
はプライマリDCすべてのFSMOの役割を保持します。特定のユーザーに特定のユーザーに何らかの理由でマシンの日時を変更します。特定のユーザー(OU1
およびOU2
)にグループポリシーオブジェクトを設定して、システム時刻を変更できるようにしました。
Computer Configurations
-> Windows Settings
-> Security Settings
-> Local Policies
-> User Rights Assignment
-> Change the system time
そして、この権利を割り当てたいグループを追加しました。ただし、この設定をDC1
で設定した後、gpupdate
を実行すると、エラーが返されました。
C:\Users\myuser>gpupdate
Updating Policy...
User Policy update has completed successfully.
Computer policy could not be updated successfully. The following errors were encountered:
The processing of Group Policy failed. Windows could not authenticate to the Active Directory service on a domain controller. (LDAP Bind function call failed).
Look in the details tab for error code and description.
To diagnose the failure, review the event log or run GPRESULT /H GPReport.html from the command line to access information about Group Policy results.
イベントビューアを確認したところ、エラー、EventID 1006、ErrorCode 49、ErrorDescription:無効な資格情報が表示されました。
この記事 このエラーは、一部のシステムサービスが、資格情報が変更されたユーザーアカウントとして実行されているために発生したことを示しています。サービスを確認したところ、いずれもユーザーとして実行されていないことが判明しました(すべてがローカルシステム、ローカルサービス、またはネットワークサービスとして実行されており、システムユーザーとしてログに表示されます。
このポリシーはユーザーには適用されず、緊急の場合には手動で回避策を講じる必要がありました。 DC2
でgpupdate
を実行してもエラーは発生しないため、FSMOの役割をDC2
に転送し、DC1
を削除して再フォーマットすることを検討しました(または最近の絶望的な管理者が行うことは何でも:D )最後の手段として。現在、ロールを転送しましたが、gpupdate
(およびgpupdate /force
)を実行すると、DC1
でも同じエラーが発生しますが、DC2
ではスムーズに実行されます。ただし、ポリシーは適用されませんでした。問題は何ですか?どこが間違っていますか?そして、どうすればそれを修正できますか?
P.S.また、DNSを再確認し、Active Directoryの役割のベストプラクティスアナライザーを使用しましたが、バックアップしないことに関する警告と、時刻同期の設定に関するエラーがいくつか表示されました。
[〜#〜] update [〜#〜]:誰かが同じ問題を抱えているという回答(直後に削除)を投稿しました。解決策を見つけました..いいえ、しませんでした。そのグループポリシーを必要とするお粗末なアプリを置き換えただけです。
マシンにキャッシュされた資格情報をクリアする
rundll32.exe keymgr.dll,KRShowKeyMgr
ドメイン資格情報をクリアする
システムとしてcmdを実行します
c:\PSTools>psexec -i -s cmd.exe
PsExec v2.2 - Execute processes remotely
Copyright (C) 2001-2016 Mark Russinovich
Sysinternals - www.sysinternals.com
Microsoft Windows [Version 10.0.14393]
(c) 2016 Microsoft Corporation. All rights reserved.
C:\Windows\system32>whoami
nt authority\system
システムレベルの権限でWindowsレジストリを起動し、「HKEY_LOCAL_MACHINE\SECURITY\CACHE」を参照すると、NL1からNL10までの合計10個のエントリが見つかります。これらのバイナリエントリには、ドメインレベルでユーザーがキャッシュした資格情報が含まれています。デフォルトでは、Windowsでは合計10個の資格情報をキャッシュできます。10個のエントリすべてがいっぱいになると、キャッシュされる新しい資格情報は、最も古いNLエントリの起算日で上書きされます。また、空きエントリがいくつ残っているかを知るには、バイナリ値データが「0」でいっぱいのエントリの数を数えるだけです。