Windows 2000 Server ドメインコントローラにローカルログオンできない (2)
Windows2000ドメインコントローラの画面で、グループポリシーエディタgpedit.mscを起動。
ユーザ権利の割り当てでローカルログオンの権利を確認すると、UsersやPrint Operatorsが表示さえされていない。
追加もできない。
ActiveDirectoryユーザとコンピュータを起動。
Domain Controllersを右クリック→プロパティで、Default Domain Controllers Policyを見てみると何故か「これらのポリシーの設定を定義する」にチェックが入ってる。
他の支店のサーバ(別ドメインのドメインコントローラ)を確認すると、チェックは入っていない。
ははあ、これが原因のようだな。
Default Domain Controllers PolicyではAdministratorsとBackup Operatorsしか表示されていないので、試しにPrint Operatorsも追加してみる。
これでドメインのポリシーではPrint Operatorsを対象に加えた。
もう一度gpedit.mscでこのコンピュータのポリシーを表示させると、確かにPrint Operatorsが表示されている。
そしてユーザをログオフし、Print Operatorsに所属するユーザでローカルログオン。
おお、見事にログオン成功。
なんでこのような状態になっていたのかはわからないけど、とりあえずPrint Operatorsでローカルログオンできれば良しとしよう。
前回の書き込みでは、ドメインコントローラではUsers以上でローカルログオンの権利があると書いたけど、もしかしたら間違いかも。
Print Operators、Backup Operators、Server Operatorsなどの権限が必要なのかもしれない。
少なくともこのお客さんでは、Usersにはネットワーク経由での接続しか許さないようにしているので、どっちにしても解決と言えば解決かな。
しかしもう少し調べてみるつもりだけど。