2021/05/25

覚書:リモートからサーバーのローカルユーザーのパスワード変更(ワークグループ、Windows Server 2016 以降)

ワークグループ環境にファイルサーバーや NAS を導入するときって、サーバーのローカルユーザーを使うことになるけど、Windows Server 2016 ?くらいからリモートからのパスワード変更操作(Ctrl+Alt+Del キーを押して、パスワードの変更で、サーバー名\ユーザー名に書き換え、パスワード変更)がアクセス拒否で失敗するようになったみたい。

以下のコマンドを実行をしてサーバーを再起動すれば、手元の Windows PC からリモート サーバーのローカルユーザーのパスワードを変更できるようになる。

C:\> REG ADD HKLM\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters /v NullSessionPipes /t REG_MULTI_SZ /d SAMR /f
C:\> REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v RestrictRemoteSamAuditOnlyMode /t REG_DWORD /d 1 /f
C:\> shutdown /r /t 0

Windows Server 2012 R2 はこんな設定しなくても、普通にできた。最初、MS16-101 とか MS16-137 のセキュリティ更新の影響かと思ったけど、関係なかった。

追記:Windows Server 2008/2008 R2/2012は SAMR の設定が必要だった。Windows Server 2003 R2 は追加の設定不要。 Windows Server 2012 R2 もなぜか追加の設定不要。SAMR の設定が必要なのは Windows 10 クライアントのためかもしれない。2003 R2 は 8.1 以前だと SAMR なしでもいけるけど、10 からはアクセス拒否(2012 R2 で SAMR なしでもいけるのは謎)。2012 以前と Windows 8.1 以前の組み合わせには SAMR 設定は不要かもしれない。2016 以降と Windows 8.1 以降の組み合わせには SAMR 設定と RestrictRemoteSamAuditOnlyMode 設定がないとだめ。ややこしくなってきた。もうわけわかめ。

iStorage NS(NEC)の管理者ガイドがとても参考になった(モノに触ったことなし)。 たぶん、SET_PW_POLICY と SET_PW_REG バッチはこの設定をしてるんだと思う。

 

0 件のコメント: