none
ネットワーク(サーバー等)へのアクセス権が制限された管理者ユーザーの作成について RRS feed

  • 質問

  • Windows7とXPをクライアントとして、WINDOWS2008でACTIVE DIRECTORYを構成しています。
    1000台のクライアントを管理しています。

    通常はドメインユーザで作業を行うのですが、セットアップ権限を付与するために管理者(administrator)で
    作業することもあります。
    セキュリティを担保するために手動でパスワードを日替わりにはしていますが、

    一旦はいられてしまいますと、サーバーなどに対しても、全権限がある状態になってしまいます。
    これは非常にリスクがあると思い、ローカルアドミニストレーターで運用しようと思ったのですが、
    こちらはパスワードが固定になってしまい一度教えると、インストール等が自在になってしまい
    これもリスクがあると考えます。

    ここからが本題なのですが、
    全コンピューターに対し管理者権限を付与しつつ、ネットワークへのアクセス権を制限したユーザーを作成したいと思いました。
    (AD上で管理のできる)

    上記を満たすユーザーの作成方法をご存知であればご教示いただきたく


    よろしくお願いいたします。


    2014年11月5日 10:57

回答

  • こんにちは
    ADユーザーはネットワーク上で認証するユーザーアカウントですから、ネットワークにアクセスさせないという要求自体が矛盾しているように見えます。

    ローカルコンピュータを管理するユーザーを作りたいなら、ローカルで作ればいいと思います。

    ローカルユーザーパスワードは、他人に漏らさない統一されたパスワードAと、エンドユーザーに連絡するワンタイムパスワードBを用意しておき、質問者様のパソコンで”MMCスナップインのローカルユーザーとグループ”で別のコンピュータとしてエンドユーザーのコンピュータに繋げるか、またはCTRL+ALT+DELして、パスワード変更のダイアログを出し、ユーザー名に 「エンドユーザーのコンピュータ名¥ローカルユーザー」とし、古いパスワードにA,新しいパスワードにBを付与すれば、遠隔からローカルユーザーのパスワードを操作できたと思います。作業が終わったら、同じ方法でパスワードをAに戻せばいいです。
    Bのパスワードの時点で別のパスワードに変更されてしまう恐れがありますが、Bパスワードにする時点で「ユーザーはパスワードを変更できない」にチェックを入れれば多少の効果はあるかと思います。または変えられてしまってもローカルユーザーでHDD暗号化などをしていなければ、ドメイン管理者権限で上記ツールを使いローカルのパスワードをリセットしてしまえばいいのかとも思います。あとユーザーアカウントはログオンできる期間を制限することもできたかと思います。
    この辺の組み合わせで使えればいいですが、1000台同時にやるとかは無理ですね。 多数同時に制御したいなら、グループポリシーとかそれを応用する製品の利用がいいと思います。





    • 編集済み 社員番号042 2014年11月5日 23:22
    • 回答の候補に設定 佐伯玲 2014年11月7日 1:11
    • 回答としてマーク 佐伯玲 2014年11月13日 0:56
    2014年11月5日 23:10
  • チャブーンです。

    「セットアップ権限」が各クライアントに対してついている非管理者のドメインアカウントが必要なのだと、理解しています。一番簡単な方法は、クライアントのGUI「ローカルユーザーとグループ」スナップインから、指定したドメインアカウントを「Administratorsグループに追加」すれば、そのアカウントは「ドメインやサーバに対しては管理権限を持たないが、そのクライアントに対してだけ管理権限を持つ」ようになります。

    うえを設定するには1000台のクライアントに手動の変更を加えなければならず、作業が大変です。このような場合、グループポリシーの「制限されたグループ」を適切に構成すると、うまくできます。これについては、したの情報をご覧いただくといいと思います。

    http://naonao71.wordpress.com/2011/08/01/%E5%88%B6%E9%99%90%E3%81%95%E3%82%8C%E3%81%9F%E3%82%B0%E3%83%AB%E3%83%BC%E3%83%97%E3%81%AE%E5%88%B6%E5%BE%A1%E3%81%AB%E9%96%A2%E3%81%97%E3%81%A6/

    • 回答の候補に設定 佐伯玲 2014年11月7日 1:11
    • 回答としてマーク 佐伯玲 2014年11月13日 0:56
    2014年11月5日 23:11

すべての返信

  • こんにちは
    ADユーザーはネットワーク上で認証するユーザーアカウントですから、ネットワークにアクセスさせないという要求自体が矛盾しているように見えます。

    ローカルコンピュータを管理するユーザーを作りたいなら、ローカルで作ればいいと思います。

    ローカルユーザーパスワードは、他人に漏らさない統一されたパスワードAと、エンドユーザーに連絡するワンタイムパスワードBを用意しておき、質問者様のパソコンで”MMCスナップインのローカルユーザーとグループ”で別のコンピュータとしてエンドユーザーのコンピュータに繋げるか、またはCTRL+ALT+DELして、パスワード変更のダイアログを出し、ユーザー名に 「エンドユーザーのコンピュータ名¥ローカルユーザー」とし、古いパスワードにA,新しいパスワードにBを付与すれば、遠隔からローカルユーザーのパスワードを操作できたと思います。作業が終わったら、同じ方法でパスワードをAに戻せばいいです。
    Bのパスワードの時点で別のパスワードに変更されてしまう恐れがありますが、Bパスワードにする時点で「ユーザーはパスワードを変更できない」にチェックを入れれば多少の効果はあるかと思います。または変えられてしまってもローカルユーザーでHDD暗号化などをしていなければ、ドメイン管理者権限で上記ツールを使いローカルのパスワードをリセットしてしまえばいいのかとも思います。あとユーザーアカウントはログオンできる期間を制限することもできたかと思います。
    この辺の組み合わせで使えればいいですが、1000台同時にやるとかは無理ですね。 多数同時に制御したいなら、グループポリシーとかそれを応用する製品の利用がいいと思います。





    • 編集済み 社員番号042 2014年11月5日 23:22
    • 回答の候補に設定 佐伯玲 2014年11月7日 1:11
    • 回答としてマーク 佐伯玲 2014年11月13日 0:56
    2014年11月5日 23:10
  • チャブーンです。

    「セットアップ権限」が各クライアントに対してついている非管理者のドメインアカウントが必要なのだと、理解しています。一番簡単な方法は、クライアントのGUI「ローカルユーザーとグループ」スナップインから、指定したドメインアカウントを「Administratorsグループに追加」すれば、そのアカウントは「ドメインやサーバに対しては管理権限を持たないが、そのクライアントに対してだけ管理権限を持つ」ようになります。

    うえを設定するには1000台のクライアントに手動の変更を加えなければならず、作業が大変です。このような場合、グループポリシーの「制限されたグループ」を適切に構成すると、うまくできます。これについては、したの情報をご覧いただくといいと思います。

    http://naonao71.wordpress.com/2011/08/01/%E5%88%B6%E9%99%90%E3%81%95%E3%82%8C%E3%81%9F%E3%82%B0%E3%83%AB%E3%83%BC%E3%83%97%E3%81%AE%E5%88%B6%E5%BE%A1%E3%81%AB%E9%96%A2%E3%81%97%E3%81%A6/

    • 回答の候補に設定 佐伯玲 2014年11月7日 1:11
    • 回答としてマーク 佐伯玲 2014年11月13日 0:56
    2014年11月5日 23:11
  • こんにちは、spectralworld2000 さん
    フォーラムオペレータの佐伯 玲 です。

    その後の状況はいかがでしょうか?
    お二方から寄せられている返信がご参考になるのではないかと思い私のほうから「回答としてマーク」とさせていただきました。

    関連してご不明な点等あればこちらのスレッドへ引き続きご返信くださいね。

    宜しくお願い致します。

    TechNet Community Support 佐伯 玲

    2014年11月13日 0:56