web-dev-qa-db-ja.com

Windows Server 2008:ユーザーが「ローカル」ユーザーか「ドメイン」ユーザーかを判断する方法

私はサーバー管理者ではなく開発者ですので、ご容赦ください。

私は、次の2つのシナリオで、クラウド内のWindows Server 2008R2マシンへのソフトウェアのインストールを確認する必要があります。

  1. ドメインはありません。ソフトウェアは認証にローカルユーザーとグループを使用します
  2. ドメインがあり、ソフトウェアは認証にドメインユーザーとグループを使用します

パート1は完了しましたが、パート2には戸惑っています。

サーバーにActiveDirectoryドメインサービスの役割をインストールしたので、1台のコンピューターのドメインができました。 Active Directoryユーザーとコンピューターを見ると、元のローカルユーザーとグループがすべて表示されます。ドメインユーザーに「プロモート」されましたか?または、まだドメインユーザーがいませんか?ドメインユーザーとローカルユーザーの違いを今すぐ見分ける方法はありますか?

ありがとう

windows-server-2008active-directorywindows-server-2008-r2
3
David

Active Directoryユーザーとコンピューターコンソール内に表示されるものはすべてドメイン内にあり、すべてのドメインコントローラーに複製されます。

ドメインコントローラー(つまり、Active Directoryドメインサービスの役割がインストールされているサーバー)には、ローカルユーザーとグループはありません(特殊なケースであるディレクトリサービス復元モードのユーザーを除く)。

ドメイン内のメンバーサーバーとワークステーションには、独自のローカルユーザーとグループがあります。マシンがドメインに追加されると、一部のドメイングループは自動的にローカルグループにネストされます。 Domain AdminsグループはローカルAdministratorsグループのメンバーになり、DomainUsersグループはローカルUsersグループのメンバーになります。

つまり、ユーザーアカウントがADUCコンソールに表示されている場合、それはドメインアカウントです。

3
Chris McKeown

DCでテストしたいものをテストすることはできません。メンバーサーバーでテストする必要があります。 a DCがプロモートされると、DSRMアカウントを除くすべてのアカウントがドメインアカウントになります。

2
MDMarra

さて、これ以上何もする前に、まずActiveDirectoryについて読む必要があります。

ADはディレクトリサービスです。ADには、ユーザー、コンピューター、および「セキュリティドメイン」(通常は会社または部門)内で使用されるあらゆる種類の参照が含まれます。これらのアカウントを管理するための中心的な場所です。

サーバーにADの役割をインストールすると、すべての「ローカル」ユーザーがドメインユーザーになります。これが、通常、ADと同じマシンに何もインストールしない理由の1つです。

あなたの場合、サーバーにADをインストールすることは意味がありません。ADは、複数のマシン間でアカウント管理を一元化する場合にのみ意味があります。

ここで、テストを適切に実行する場合は、サーバーからADを削除し(または、できれば完全に再インストールし)、ADをインストールする別の2008R2サーバーをインストールしてから、アプリケーションサーバーをそのドメインに参加させる必要があります。 。そうして初めて、アプリケーションにADアカウントの使用を試みることができます。

ただし、ADは単なるネットワークサービスではないことに注意してください。ADに付属するすべてのインフラストラクチャをインストールする必要があります(ほとんどの場合、DNSですが、静的IPアドレスが必要になることも意味します)。

繰り返しになりますが、ADについて読み始めることをお勧めします。Windowsネットワークを使用する必要がある人にとっては、時間が失われることはありません。少なくとも、Active Directoryに関するウィキペディアの記事を見て、ネット上で入手できる(多数の)AD初心者向けガイドを読んでみてください。

2
Stephane

サーバーがドメインのメンバーであるかどうかを確認する方法はいくつかあります。

レジストリ:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Domain

この値にはFQDNが含まれるか、ワークグループマシンでは空になります。

いくつかの Powershell コマンドを実行してチェックすることもできます。

%userdomain%環境変数は、ドメイン上にない場合もマシン名になります(ただし、マシン名がドメインと同じである場合、このテストは失敗します。エッジケース、はい、ただし可能性はあります)。

ドメインが検出された場合、ユーザーおそらくがActive Directory認証を使用したいと考えるのは安全な仮定ですが、インストーラーでそれらを尋ねないのはなぜですか?インストールしているWindowsサービスの場合、私絶対に質問したい(そしてどのユーザーを選択できるか、サービスを実行することはない)管理者として、必要がなければ、最小限の特権が必要です。そういうことです)。

2
gravyface