none
WindowsServer2008(32bit)のドメイン参加でお尋ねです。(クライアントは7です) RRS feed

  • 質問

  • 素人質問になり申し訳ありませんがお世話になります。

    今回クライアントのOSがPro系に統一されることになり、
    ドメイン参加にてユーザ管理などを行いたいと考えました。

    過去にWindows2000Serverでドメイン構成をした経験がありますが、
    この頃のクライアントは9Xでしたので、難なくドメインへの参加ができました。

    今回、Windows7Professionalにてドメインへの参加を試みたところ、参加はできる物の、
    ソフトのインストールやアップデート、設定変更などに権限がないと言われできません。

    ドメイン参加する際のユーザーをAD上でadministratorsグループに参加させてみたり、
    ローカルログオンで参加ユーザーを管理者にしたり、
    ドメインへadministratorでログオンしてみたりしましたが状況は変わらずでした。

    おそらくサーバ上のセキュリティポリシーの設定によるのだと思われますが、
    その理解であっていますでしょうか?

    ポリシーの問題だとすると、administratorでログオンしているのに
    インストールや設定変更ができないのが分からず、悩んでいます。

    アドバイスなどよろしくお願い申し上げます。

    なお、ローカルでログオンし、ソフトインストールやアップデートを行えば
    ドメイン参加状態でも反映されます。
    2010年2月22日 16:27

回答

  • 阿部です

    セキュリティ的には考えるところですが・・・・

    ローカルのAdministratorsグループにドメインのユーザーを登録してみてはいかがでしょうか?これに関してはドメインの管理者は悩むところですね。

    ちなみに私の環境も同様ですが、ローカルのAdministratorsグループにドメインのユーザーを登録していますのでアプリのインストールやアップデートなどは問題なくできています。ですのでGPOの問題ではないと思います。
    2010年2月22日 23:14
    モデレータ
  • ドメイン参加する際のユーザーをAD上でadministratorsグループに参加させてみたり、
    ローカルログオンで参加ユーザーを管理者にしたり、
    ドメインへadministratorでログオンしてみたりしましたが状況は変わらずでした。

    ドメインのAdministratorsではなくDomain Adminsにユーザーを追加すれば、自動的にクライアントの管理者権限を持つことはできるはずですが、一般的にはすべてのドメインユーザーをDomain Adminsにはしませんので、以下の手順で特定のドメインユーザーをクライアントのAdministratorsグループにドメインユーザーを追加してみるとどうでしょうか
    [手順]
    クライアントに管理者権限のあるローカルユーザーでログオンし、[コンピューターの管理][ローカルユーザーとグループ][グループ]でAdministratorsに、ドメイン名\ユーザー名を追加すれば、ドメインユーザーにローカル管理者権限が与えられます(推奨はしませんが全ドメインユーザーに対して行う場合には、ドメイン名\Domain Usersを追加します)。

    ただ、ローカルログオンで参加ユーザーを管理者にしても、ドメインへAdministratorでログオンしてもだめだったのであれば別の原因がありそうな感じですが・・・。




    上記設定がうまくいく環境であれば、グループポリシーで自動的に行うこともできるはずです。
    クライアントのコンピュータアカウントを集めたOUに対して、グループポリシーの[コンピュータの構成][Windows の設定][セキュリティの設定][制限されたグループ]で以下を設定します。

    以下のように設定すると、ローカルのAdministratorsグループに、ドメイン\Domain Usersを追加できます。
    ・グループ名      :ドメイン\Domain Users
    ・所属するグループ  :Administrators

    以下のように設定すると、ローカルのAdministratorsグループには、Administratorとドメイン\Domain Usersしか存在しなくなります(それ以外のAdministratorsグループのメンバはグループから削除されますので注意してください)。
    ・グループ名      :Administrators
    ・このグループのメンバ:ドメイン\Domain Users

     

    2010年2月22日 23:24

すべての返信

  • 阿部です

    セキュリティ的には考えるところですが・・・・

    ローカルのAdministratorsグループにドメインのユーザーを登録してみてはいかがでしょうか?これに関してはドメインの管理者は悩むところですね。

    ちなみに私の環境も同様ですが、ローカルのAdministratorsグループにドメインのユーザーを登録していますのでアプリのインストールやアップデートなどは問題なくできています。ですのでGPOの問題ではないと思います。
    2010年2月22日 23:14
    モデレータ
  • ドメイン参加する際のユーザーをAD上でadministratorsグループに参加させてみたり、
    ローカルログオンで参加ユーザーを管理者にしたり、
    ドメインへadministratorでログオンしてみたりしましたが状況は変わらずでした。

    ドメインのAdministratorsではなくDomain Adminsにユーザーを追加すれば、自動的にクライアントの管理者権限を持つことはできるはずですが、一般的にはすべてのドメインユーザーをDomain Adminsにはしませんので、以下の手順で特定のドメインユーザーをクライアントのAdministratorsグループにドメインユーザーを追加してみるとどうでしょうか
    [手順]
    クライアントに管理者権限のあるローカルユーザーでログオンし、[コンピューターの管理][ローカルユーザーとグループ][グループ]でAdministratorsに、ドメイン名\ユーザー名を追加すれば、ドメインユーザーにローカル管理者権限が与えられます(推奨はしませんが全ドメインユーザーに対して行う場合には、ドメイン名\Domain Usersを追加します)。

    ただ、ローカルログオンで参加ユーザーを管理者にしても、ドメインへAdministratorでログオンしてもだめだったのであれば別の原因がありそうな感じですが・・・。




    上記設定がうまくいく環境であれば、グループポリシーで自動的に行うこともできるはずです。
    クライアントのコンピュータアカウントを集めたOUに対して、グループポリシーの[コンピュータの構成][Windows の設定][セキュリティの設定][制限されたグループ]で以下を設定します。

    以下のように設定すると、ローカルのAdministratorsグループに、ドメイン\Domain Usersを追加できます。
    ・グループ名      :ドメイン\Domain Users
    ・所属するグループ  :Administrators

    以下のように設定すると、ローカルのAdministratorsグループには、Administratorとドメイン\Domain Usersしか存在しなくなります(それ以外のAdministratorsグループのメンバはグループから削除されますので注意してください)。
    ・グループ名      :Administrators
    ・このグループのメンバ:ドメイン\Domain Users

     

    2010年2月22日 23:24
  • >ローカルのAdministratorsグループにドメインのユーザーを登録

    現状、ローカル(そのコンピュータ)にadministratorでログオンの後、
    ユーザーをADドメインに登録してあるユーザー名とパスワードで新規作成。
    ユーザー権限を管理者(administrators)としてあります。

    私の理解が悪ければ申し訳ないのですが、
    上記のことを言って見えるようでしたら、その状態で設定変更ができない状態です。

    GOPではなさそうということが分かり、見直すところをピンポイント化できそうです。
    (今一度クライアントPCのデフォルト設定を確認してみます。)

    この度は、ご回答ありがとうございました。
    今後ともよろしくお願い申し上げます。
    2010年2月23日 15:46
  • こんばんは。答えてねっと時代から、お世話になりありがとうございます。

    今回ご呈示頂いた設定をすべて試してみましたが、
    状況は変わらずです。

    今日触っていて新たに分かったことの付け加えです。

    ・別用途の別機種(OSは7Enterprise)ではドメイン参加すら拒否される。

    ・Adobe Reader起動時に、ローカル(そのコンピュータに)ログオンでは、
     新規作成したユーザ名(ドメイン登録してある物と同じ)では
     アップデートの有無をチェックの項目が出るのに、
     ドメインへログオンすると項目が表示されない。

    などです。

    2000Serverでドメイン運用の頃はセキュリティも今よりもあまり重要視されていなかったこと、
    その後使っていた2003ではドメイン運用してなかったこと。
    (XP HOMEのOSが混在していたためできなかった)

    などから、2008ではかなりデフォルトでセキュリティ対策が強くかけてあるのかと思いましたが、
    GOP上での設定を見た限りadministratorであればデフォルト状態でも
    PCの設定変更が可能のようですね・・・。

    もしかしたら、今回の7PCのデフォルト設定で、特別な事がしてあるのかも知れません。
    (今回業者から直の納品ではなく、本社を通じての納品なので)

    一度、メーカと本社に詳細を確認してみたいと思います。

    見直すポイントが分かりましたので感謝いたします。
    ありがとうございました。

    2010年2月23日 16:00
  • こんにちは、フォーラムオペレーターの三沢健二です。

    ABE NAOKI さん、OMEGAT さん、いつもアドバイスありがとうございます。

    まだ少し疑問が残られているようですが、案内いただいたアドバイスが参考になられたようですので、勝手ながら [回答としてマーク] を付けさせていただきました。


    それでは、今後とも TechNet Forum をよろしくお願いします。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    2010年2月24日 8:50
    モデレータ
  • その後の報告です。

    メーカーと納入業者に確認したところ、
    この状態でドメイン参加したら、普通は設定変更などができるはずとのこと。

    どうも、納品前に入れた、サードパーティのHDD暗号化ソフトが悪さをしているのでは?
    ということで確認してもらうことになりました。

    一応、この件については締め切りとさせて頂きます。

    ありがとうございました。
    2010年2月24日 15:41
  • Windows Vista / 7 / 2008 においては UACとか効いている気がします。

    アプリケーションのセットアップファイルを 右クリックして「管理者として開く」をやるともしかしてもしかするかもです。
    設定変更系は 一部は「管理権限に昇格するか?」的 な質問にこたえるだけでOKかもしれません。
    そうでない奴は 管理ツールなどのアイコンを右クリックして「管理者として開く」を行うと上手く行くかもしれません。

    それ以外では ローカルセキュリティポリシー を変更して 「勝手に管理者権限に昇格する」ようにするのも良いかもしれません。
    具体的な項目名を失念しましたので この項目名はイメージですが、ポリシー一覧を眺めていくとそれっぽいのが見つかるかもしれません。


    2010年3月2日 11:41