none
遠隔で管理者権限を認証する方法 RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    アプリのインストール時などに、しばしば「このアプリがデバイスに変更を加えることを許可しますか?」と管理者権限を要求されます。

    このとき別の場所にいる管理者に別の端末からリモートでパスワードを入力してもらい、管理者の許可を与えたいのですが、どのような方法がありますでしょうか。

    なおこの端末は、あらかじめwindows標準機能のリモートデスクトップを許可する設定にしていません。設定するためには管理者権限が必要ですが、既に管理者が別の場所におり、設定できません。

    またwindows10標準アプリ「クイックアクセス」を試しましたが、管理者権限を入力する画面で「ユーザーは管理者モードではありません」と注意が表示され、画面は真っ黒となり、リモート元(支援者)からリモート先の入力を受けつけない状態となり実現できませんでした。リモートソフト「team viewer」でも同様でした。

    最悪、管理者アカウントのパスワードを教える、というのが一つの方法ですが、できればこの方法をとらずに行いたいです。

    ※この質問は、こちらからご案内いただきました。

    https://answers.microsoft.com/ja-jp/windows/forum/windows_10-other_settings/%e9%81%a0%e9%9a%94%e3%81%a7%e7%ae%a1%e7%90%86/12da4af1-2ee2-4e65-8682-56ae15c78f67?tm=1583807871622


    • 編集済み nnSp 2020年3月10日 4:54
    2020年3月10日 4:53
    |

回答

  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    この件ですが、端的にいうとおっしゃるような「管理者権限必要時に即時権限を与える」というソリューションはムリです。管理者は利用者の操作を逐次モニターしているわけではないからです。イメージとして一番簡単なのは、「リモートアシスタンス」で管理者権限でサインイン+画面操作を行うようにすることです。基本的にはこれをお奨めします。

    エンタープライズ的手法なら「ワークフローによる一時的な管理者権限の昇格」というソリューションがあり、これ自体はPAMという実装で行えますが、非常に大がかりであり、お金もかかります。もう少し簡単にしたい、ということであれば、Windows Server 2016以降の機能である「Temporary Group Membership」があります。

    Temporary Group Membershipは管理者が特定メンバーやグループに対して、「時限的に」管理者グループへの追加を行うものです。実行されると、管理者権限が与えられますが、そのあと一定時間が経つと権限が消えるしくみです。「Domain Admins」などを加えてしまうと大変なので、事前に何かのセキュリティグループを各クライアントの「Administrators」のメンバーにしておき、このグループのメンバーにドメインアカウントを一時的に追加する、になるでしょう。

    https://www.veeam.com/blog/active-directory-temporary-group-membership.html

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。



    2020年3月12日 2:59
    |

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    リモートレジストリかPSEXECを使用して問題のクライアントに接続できるようであれば、以下のレジストリを編集してリモートデスクトップを許可にすることが可能です。リモートデスクトップで接続できるようになれば、リモートデスクトップで乗り込んで記載されているリモートソフトのインストール等も設定可能になると思います。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server

    名前 : fDenyTsConnections
    値   : 0 (許可)
             1 (許可しない)





    • 編集済み kaz8629 2020年3月10日 5:16
    2020年3月10日 5:09
    |
  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    この件ですが、端的にいうとおっしゃるような「管理者権限必要時に即時権限を与える」というソリューションはムリです。管理者は利用者の操作を逐次モニターしているわけではないからです。イメージとして一番簡単なのは、「リモートアシスタンス」で管理者権限でサインイン+画面操作を行うようにすることです。基本的にはこれをお奨めします。

    エンタープライズ的手法なら「ワークフローによる一時的な管理者権限の昇格」というソリューションがあり、これ自体はPAMという実装で行えますが、非常に大がかりであり、お金もかかります。もう少し簡単にしたい、ということであれば、Windows Server 2016以降の機能である「Temporary Group Membership」があります。

    Temporary Group Membershipは管理者が特定メンバーやグループに対して、「時限的に」管理者グループへの追加を行うものです。実行されると、管理者権限が与えられますが、そのあと一定時間が経つと権限が消えるしくみです。「Domain Admins」などを加えてしまうと大変なので、事前に何かのセキュリティグループを各クライアントの「Administrators」のメンバーにしておき、このグループのメンバーにドメインアカウントを一時的に追加する、になるでしょう。

    https://www.veeam.com/blog/active-directory-temporary-group-membership.html

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。



    2020年3月12日 2:59
    |
  • Question
    サインインして投票
    0
    サインインして投票

    セキュリティ ポリシーの「ユーザー アカウント制御: 昇格のプロンプト時にセキュリティで保護されたデスクトップに切り替える」を無効にすると、クイックアクセスや TeamViewer で UAC に対応できるようになるかも。

    Hebikuzure aka Murachi Akira

    2020年3月12日 8:13
    |