なからなLife

geekに憧れと敬意を抱きながら、SE、ITコンサル、商品企画、事業企画、管理会計、総務・情シス、再び受託でDB屋さんと流浪する人のブログです。

ドメイン未所属端末利用者のドメインユーザーパスワードを変更する

なんでそんなことが必要に?

ニッチでめんどくさい話。
端末がドメイン参加してれば、何も意識することなくパスワード変更できるのに。

むしろ、「なんでこうなるの?」って思う人もいると思う。

これが必要となるケースは、こんな感じです。
ドメイン複数あり、信頼関係を結んでいないが、自身が参加していないドメイン側のサーバーにもアクセスする必要がある。
・セキュリティ要件等の諸事情で、ドメイン上のリソースが丸見えになるのを避けたいがゆえに端末レベルではWorkgroup運用しているが、サーバーはドメイン参加して管理されている。
Macユーザーなど(ドメイン参加しない方がむしろ一般的)


大きな会社では、ちょっとしたシステム作って、パスワード変更させる。
私がかつていた会社も、PCはWorkgroupでしたが、サーバーはドメイン構成されていて、そのためのパスワード変更画面がとあるWebシステムとして提供されていました。
ドメインユーザーだけじゃなく、他のID/PWで管理しているシステムも一括で管理してくれるようなシステムにしてあった記憶があります。


そういうシステムを作る側に回ったこともありますが、それは2万人規模で使うIDM/IAMシステムの一部でした。


小さな会社では、そんなシステム作っている余裕はないです。

対応方法

(1)ADサーバーの管理者に頼んで、「次回ログイン時にパスワードを変更する」フラグを立ててもらったあと、RemoteDesktopでドメイン傘下のサーバーに接続する。
パスワード変更画面が表示されます。
そして、変更後、リモートデスクトップアクセス権がない場合、リモートデスクトップでそのサーバーのデスクトップにアクセスすることはできませんが、ちゃんとパスワードは変更できている。


(2)ADサーバーの管理者に頼んで、ドメインユーザー管理の画面から自身のアカウントについて「パスワードリセット」の画面で入力させてもらう。
管理者が物理的に近くに居て、比較的柔軟に対応してくれる人でないとできませんね。



(3)ドメインログオンしているユーザーに頼んで、コマンドプロンプトから以下のコマンドを入力してもらう。

 net use パスワードを変更したいユーザーアカウント 新パスワード /DOMAIN
最後の「/DOMAIN」は、ドメイン名じゃなくてそのままの文字を打ち込みます。
どのドメインのユーザーについての操作かという点では、その端末が参加しているドメイン、という意味になります。

これ、古いパスワード、いらないんだよね。いいのかな。。。
ためした時、Domain Adminのユーザーでやったからかな。



(4)ドメインに参加している共有PCを用意しておいて、リモートデスクトップでアクセスし、コマンドプロンプトから3と同じ上記コマンドを実行。


こんなかんじです。

MacOSにもリモートデスクトップクライアントは提供されていてフツーにWindows端末に接続できますので、活用しましょう。


ひと目でわかる Windows Server 2012 R2 (TechNet ITプロシリーズ)

ひと目でわかる Windows Server 2012 R2 (TechNet ITプロシリーズ)