このブラウザーはサポートされなくなりました。
Microsoft Edge にアップグレードすると、最新の機能、セキュリティ更新プログラム、およびテクニカル サポートを利用できます。
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(128, 78%, 22%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EA%3C/text%3E%3C/svg%3E)
ADServerにドメインユーザでログインが拒否されてしまいます。ドメイン管理者では拒否されずにいけるのですが、原因が分からずにいます。どなたか原因がわかるかたいましたらご教授頂きた位と思っております。以下設定情報です。
■サーバ情報
WindowsServer2022
■ユーザ情報(通常ユーザをuser1、管理者をuser2としています)
test-user1:Domain Users , Remote Desktop Users , Users
test-user2:Domain Admins , Administrator
■ポリシー情報(以下がログオンに関係する設定かなと認識しています。)
【Default Domain Controllers Policy>ユーザ権限の割り当て】
ローカルログオンを許可:Remote Desktop Users etc...
ローカルログオンを拒否:未定義
【Default Domain Policy>ユーザ権限の割り当て】
ローカルログオンを許可:未定義
ローカルログオンを拒否:未定義
■ADServerへ適用されているポリシー
Default Domain Controllers Policy
■ログイン状況(ADServerにログインした際)
test-user1:ログイン不可
エラー内容「The sign-in method you're trying to use isn't allowed. For more info, contact your
network administrator.」
test-user2:ログイン可能
※ポリシーは適切に設定できている認識でいます。(間違っていたら教えて頂きたいです)原因を調べても、ポリシー周りの記載しかなく原因究明に難航している状況です。
ドメインコントローラーにログインして何を行いたいのでしょう?
ドメインコントローラー自体の管理作業であれば、一般ユーザーでログインしてもほぼ何もできませんが。
コメントありがとうございます。
私が設計したわけではないですが、設計書のDefault Domain controllers policyのローカルログオンを許可に「Remote Desktop Users」が入っていて、またドメインの一般ユーザに「Remote Desktop Users」が割当たっていたので、管理者と通常ユーザがADにログインするような仕様なのかなと認識していた次第でございます。
追加で失礼いたします。
サーバ運営者に確認して、もし通常ユーザでADにログオンする必要はないとのことであればこの問題自体考える必要はなくなりますね。通常ユーザでログオンが許可されない謎は残りますが。。
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(275.2, 16%, 36%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EV%3C/text%3E%3C/svg%3E)
本日、運用担当者に確認を取ったところ、ドメイン一般ユーザのログインは必要ないとのご回答頂けたので問題はクリアできました。
Hi クチナシ,
あなたは完全に正しいです。ドメイン コントローラーは主にネットワークの管理に使用され、通常の作業にはアクセスしないでください。管理者以外のアカウントでログインしようとすると、セキュリティ上の理由からシステムによって制限されます。
管理目的でアクセスが必要な場合は、管理者権限を持つアカウントを使用するか、ドメインに参加している通常のサーバーまたはワークステーションからログインすることをお勧めします。ネットワークを安全に保つために、日常的に使用するためにドメイン コントローラーに直接ログインすることは避けてください。
これで物事がより明確になることを願っています!
ビビアン
Hi クチナシ,
test-user1 がログインできない理由は、ドメイン コントローラーでは既定でドメイン管理者がローカルでサインインすることしか許可されていないためです。test-user1 を "リモート デスクトップ ユーザー" に追加した場合でも、そのグループはドメイン コントローラーに対する対話型ログオン権限を付与しません。このエラー メッセージは、ドメイン コントローラー ポリシーで管理者以外のアカウントに "ローカルでのログオンを許可する" または "リモート デスクトップ サービスを介したログオンを許可する" を明示的に許可しない限り、予期される動作です。
ただし、通常のドメイン ユーザーがドメイン コントローラーに直接ログインできるようにしないでください。これはセキュリティ上のリスクです。テストに必要な場合: test-user1 (またはグループ "リモート デスクトップ ユーザー") を、既定のドメイン コントローラー ポリシーの [リモート デスクトップ サービスを介したログオンを許可する] 設定に追加します。または、ドメイン コントローラーにログインする代わりに、ドメインに参加しているメンバー サーバーまたはワークステーションを使用してユーザー ログインを行います。ドメイン コントローラーは、管理タスク用に予約する必要があります。
このアドバイスがある程度お役に立てば幸いです。また、 **** 貴重な経験をコミュニティと共有する方法として回答を受け入れていただければ幸いです。ありがとうございました:)
ビビアン
回答頂きありがとうございます。
既定では管理者(今回で言うDomain Admins)しかローカルログオン権限を持っていなということを理解しました。
また、通常ユーザでADServerへログオンすることはセキュリティ上リスクがあることも理解できました。こちらは考慮する必要がありますね。
ただ、WinddowsServerの動作的に「ローカルログオンを許可する」にRemote Desktop Users」を追加した後、test-user1でログオンに失敗するということはあり得るのでしょうか。明示的に追加しているのにローカルログオンに失敗するということです。
追加で失礼します。
サーバ運用者に通常ユーザでADにログオンする必要性があるか確認し、なければこの問題は解決?(ログオンが許可されない謎は残りますが)ということにいたします。
