none
Vistaのドメイン参加クライアントの問題 RRS feed

  • 質問

  •  

    はじめまして。

     

    今までVista Businessをワークグループで運用していましたが、セキュリティの確保のため

    Windows2008Serverでドメインを構築して運用する事になりました。

     

    ワークグループで使用していた時は、ローカルのadmin権限を持ったアカウントを作成して使用していました。

    特に問題もなかったのですが、今回、ドメインにPCを参加させたあと、ローカルのadministratorsグループに

    ドメインアカウントを追加してワークグループの時と同じような運用にしようと考えていたのですが。。。。

     

    <問題となる現象>

    (1) ドメインアカウントでそのPCにログインし、リモートデスクトップを有効にして、使用を許可するユーザを

    選択しようとするとそのユーザは見当たりませんという表示になってしまいます。

    通常はドメインを検索する権限を持っていないと、ユーザ名とパスワードの入力を促す画面が表示されますが

    ドメインユーザでは表示されません。次にローカルのadmin権限を持ったユーザでログインし直し

    リモートデスクトップを使用できるユーザを追加しようとすると正常に追加できます。

     

    (2) ドメインアカウントでそのPCにログインし、モバイルカードのドライバとユーティリティをインストールしようとすると

    ユーティリティの方でadmin権限を持ったユーザでインストールしてくださいとのメッセージが表示され

    インストールする事が出来ません。

    ローカルのadmin権限を持ったアカウントでログインすればインストールする事が可能です。

     

    (3) ドメインアカウントでそのPCにログインした場合、突然SQLサーバーへの接続ができなかったり

    インターネットに接続できなくなったりします。もちろん、GWまでの疎通確認もとれていますし

    全部のPCが同時になることもありません。これもローカルのadmin権限をもったユーザでログインし

    使用したいサービスを起動すると普通に使用でき、このあとドメインユーザでログインし直すと

    正常に使用できるようになります。

     

    これらの現象から、ローカルのadministratorsグループにドメインアカウントを追加しても

    完全な管理者権限を与えられていないような気がします。

    (2003Server と XP で同様の運用をした経験はありますが問題はなかったのですが。。。)

     

    皆さんのノウハウなどをお聞かせいただければと思います。

     

     

     

     

     

     

     

    2008年10月16日 7:44

回答

  • pyonpyon さん、こんにちは。
    フォーラムオペレーターの鈴木裕子です

     

    ご投稿の操作を試したわけではないのですが、
    Vistaでは「UAC」という機能が装備されて、ローカルAdministratorグループの動作が、XPまでとは違っておりまして、
    そのことが、ご投稿の現象を発生させているのではないかなと思いましたので、少し紹介させていただきますね。

     

    ↓こちらのスレッドでも紹介させていただいてるのですが、

     

    ime2007+fezで一部の機能が使えない
    http://forums.microsoft.com/TechNet-JA/ShowPost.aspx?PostID=3955548&SiteID=36

     

    VistaのローカルAdministratorグループは、
    通常は標準ユーザー権限で操作を行い、管理者権限が必要な時だけ「昇格」して操作する、という動作をとります。
    最初は面倒な感じがすると思うのですが、
    悪意のあるプログラムが、知らない間にインストールされるようなことを防げますので、
    セキュリティ面で効果のある機能だと思います。

     

    pyonpyon さんが使用されていた、ローカルのadmin権限を持つユーザーは、組み込みadministratorだと思うのですが、
    Vistaの場合は、クリーンインストールした場合、組み込みadministratorは無効になっていますし、「昇格」もないですし、
    組み込みadministratorは、セキュリティ面でリスクのある「特別なアカウント」として動作をみた方がよいと思います。

     

    Administratorグループのアカウントを昇格させて操作する方法としては、
    実行したいアイコンを右クリックして「管理者として実行」とすると昇格できますので、
    リモートデスクトップの設定や、ドライバのインストールはその方法を試してみて下さい。
    インターネット接続、SQLサーバーへの接続については、
    ご投稿の内容からすると、使用したいサービスを「管理者として実行」で起動した後に接続する方法で回避できるかもしれません。

     

    もし外していたらごめんなさい!ですが、ぜひ一度試していただければと思います。
    ご参考となれば幸いです!

    2008年10月29日 8:56
    モデレータ

すべての返信

  • pyonpyon さん、こんにちは。
    フォーラムオペレーターの鈴木裕子です

     

    ご投稿の操作を試したわけではないのですが、
    Vistaでは「UAC」という機能が装備されて、ローカルAdministratorグループの動作が、XPまでとは違っておりまして、
    そのことが、ご投稿の現象を発生させているのではないかなと思いましたので、少し紹介させていただきますね。

     

    ↓こちらのスレッドでも紹介させていただいてるのですが、

     

    ime2007+fezで一部の機能が使えない
    http://forums.microsoft.com/TechNet-JA/ShowPost.aspx?PostID=3955548&SiteID=36

     

    VistaのローカルAdministratorグループは、
    通常は標準ユーザー権限で操作を行い、管理者権限が必要な時だけ「昇格」して操作する、という動作をとります。
    最初は面倒な感じがすると思うのですが、
    悪意のあるプログラムが、知らない間にインストールされるようなことを防げますので、
    セキュリティ面で効果のある機能だと思います。

     

    pyonpyon さんが使用されていた、ローカルのadmin権限を持つユーザーは、組み込みadministratorだと思うのですが、
    Vistaの場合は、クリーンインストールした場合、組み込みadministratorは無効になっていますし、「昇格」もないですし、
    組み込みadministratorは、セキュリティ面でリスクのある「特別なアカウント」として動作をみた方がよいと思います。

     

    Administratorグループのアカウントを昇格させて操作する方法としては、
    実行したいアイコンを右クリックして「管理者として実行」とすると昇格できますので、
    リモートデスクトップの設定や、ドライバのインストールはその方法を試してみて下さい。
    インターネット接続、SQLサーバーへの接続については、
    ご投稿の内容からすると、使用したいサービスを「管理者として実行」で起動した後に接続する方法で回避できるかもしれません。

     

    もし外していたらごめんなさい!ですが、ぜひ一度試していただければと思います。
    ご参考となれば幸いです!

    2008年10月29日 8:56
    モデレータ
  • pyonpyon さん、
     
    こんにちは!
    フォーラム オペレーターの服部 清次です。
    今回、弊社の鈴木裕子の回答が参考になったのではないかと思いましたので、同じ現象に遭遇された方にこちらの情報を共有していただくためにも、私の方で回答チェックを付けさせていただきました。
    もし、まだ疑問が解決していない場合は、遠慮なく回答チェックを外して質問を続けてください。

     

    参考までに 、UAC に関して鈴木が参照しているのとは別のページを紹介したいと思います。
    Windows Vista や Windows Server 2008 環境で、Windows XP や Windows Server 2003 環境と同様の運用を行う場合には、以下のリンク先の 「ユーザー アカウント制御の主なシナリオ」 のシナリオ 2 で紹介されている手順を参考にされるとよいかもしれません。
    http://www.microsoft.com/japan/technet/windowsvista/library/0d75f774-8514-4c9e-ac08-4c21f5c6c2d9.mspx


    それでは、また!

     

    ___________________________________________
    マイクロソフト株式会社 フォーラム オペレータ 服部 清次

    2008年11月18日 6:43