【環境と経緯】
Hyper-V内のゲスト環境のWindowsServer2008R2 (ワークグループ)にファイルサーバーとして使用するために、共有フォルダを作成して各自のローカルユーザーを登録してアクセス権設定で管理をしております。
作成したローカルユーザーのパスワード変更に関してなのですが、90日でパスワードの有効期限が切れるローカルセキュリティポリシーで運用をしており期限切れした場合、クライアントからのパスワード変更する運用をしておりました。
先月位までは問題なく各クライアントから変更が出来ておりましたが、先週から各ユーザーより変更が出来ないと連絡が入り、パスワード切れていない状況でも同様に変更ができなくなっております。
[エラーメッセージ]
「セキュリティに危害を与える試みが検出されました。認証したサーバーに連絡してください。」とメッセージが出て変更できない
何か仕様が変更されたのでしょうか?
【変更手順(変更不可能の手順)】
クライアントPCにて「Ctrl」+「Alt」+「DEL」キーで「パスワードの変更」ログオン先を「サーバー名\ユーザー名」 に対してパスワード変更
【変更ができない状況】
・クライアントからのパスワード変更が出来ない
(1台だけ変更が出来たとの連絡もありましたが9割型のPCで現象が発生しております)
・「Windows7&10からパスワード変更をした場合」でも同様
・「WindowsServer2012R2にwindows7からパスワード変更をした場合」でも同様
クライアントのOS、サーバーのOSの違いによる現象の差異はありません。
【現在の対応】
クライアントPCからの「リモートデスクトップ」でのサーバー側でのログオンでのパスワード変更は可能ですので逐次変更を我々が実施しています。
【これまでの検証内容】
1.WindowsServer2003R2から2008R2に変更した際に「ローカルセキュリティポリシー」の「ネットワークアクセス:リモートからアクセスできる名前付きパイプ」に「SAMR 」という項目をWindowsServer2008R2に加えております。(再起動は実施済み)
2.「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
」に「MaxTokenSize」で「DWORD値」-「FFFF(16進数)65535(10進数)」を
WindowsServer2008R2に追加しております。(再起動はしておりません)
※参考URL
https://support.microsoft.com/ja-jp/kb/327825
3.クライアントのWindow資格情報コンテナに保存されている情報を削除
4.SymantecEndopointProtectionの無効化をして実施
5.Windowsファイアーウォールをサーバー及びクライアントにて無効化
パスワード無期限で運用しないとユーザーからサーバー内のローカルユーザーパスワードの変更ができないのは不便です。ActiveDirectryで運用すればよいのでしょうが現在の所予定はありません。何か解決手段はないでしょうか。
以上、よろしくお願いいたします。