none
シェルでユーザを追加すると「実行する権限がありません」とエラーになる RRS feed

  • 質問

  • ADサーバで代理のAdministratorユーザを作成し、グループや権限など全ての情報をビルトインAdministratorと同じ状態にしました。このユーザで新規ユーザ作成をシェルにて実行すると「実行する権限がありません」とエラーになります。しかし、ユーザ一覧を見ると正しく追加されており、試しに画面上でユーザ作成するとエラーも出ずユーザが作成できました。
    また、ユーザー削除をシェルで実行すると、問題なく実行出来ました。
    色々試した結果、今回作成した代理のAdministratorユーザをHead_Adminのグループに所属させると、そのようなエラーが出ないことが分かりました。
    ユーザをシェル上で実行する際はHead_Adminに所属させる必要があるのでしょうか。なぜAdministratorsグループに所属させるだけでは充分でないのでしょうか。

    2018年3月20日 2:29

回答

  • チャブーンです。

    この件ですが、まず前提として「ビルトインAdministratorと同一権限の後付けユーザー」には違う点がある、ということがあります。具体的にはUACにおいて「ビルトインAdministratorは例外的に無条件に昇格する」ということです。

    管理操作を行う場合、管理上の権限をUACの昇格によって得ていないアカウントでは、管理者グループであっても「実行する権限がありません」といったエラーがでることがあり、シェル=コマンドプロンプトから操作する場合、コマンドプロンプトを[管理者として実行]で起動することで、問題なく動作します。ビルトインAdministratorと動作が違う、というなら、まずはこの点を確認してください。

    ちなみに「Head_Adminのグループ」などというセキュリティグループはWindowsには用意されていません。したがって質問者さんの組織(会社)で設定した、あるいはサードパーティのプログラムがインストール時に用意したものでしょう。Active Directoryオブジェクトのアクセス許可をカスタマイズ(委任など)しているのであれば、そこに「Head_Adminのグループ」がフルコントロール設定されているなら、そのアクセス許可設定に依存する可能性はあります。ですがこちらに詳細な設定はわからないので、質問者さん側で確認いただくことになりますね。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2018年3月21日 6:17
    モデレータ

すべての返信

  • チャブーンです。

    この件ですが、まず前提として「ビルトインAdministratorと同一権限の後付けユーザー」には違う点がある、ということがあります。具体的にはUACにおいて「ビルトインAdministratorは例外的に無条件に昇格する」ということです。

    管理操作を行う場合、管理上の権限をUACの昇格によって得ていないアカウントでは、管理者グループであっても「実行する権限がありません」といったエラーがでることがあり、シェル=コマンドプロンプトから操作する場合、コマンドプロンプトを[管理者として実行]で起動することで、問題なく動作します。ビルトインAdministratorと動作が違う、というなら、まずはこの点を確認してください。

    ちなみに「Head_Adminのグループ」などというセキュリティグループはWindowsには用意されていません。したがって質問者さんの組織(会社)で設定した、あるいはサードパーティのプログラムがインストール時に用意したものでしょう。Active Directoryオブジェクトのアクセス許可をカスタマイズ(委任など)しているのであれば、そこに「Head_Adminのグループ」がフルコントロール設定されているなら、そのアクセス許可設定に依存する可能性はあります。ですがこちらに詳細な設定はわからないので、質問者さん側で確認いただくことになりますね。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2018年3月21日 6:17
    モデレータ
  • チャブーンです。

    この件ですが、まず前提として「ビルトインAdministratorと同一権限の後付けユーザー」には違う点がある、ということがあります。具体的にはUACにおいて「ビルトインAdministratorは例外的に無条件に昇格する」ということです。

    管理操作を行う場合、管理上の権限をUACの昇格によって得ていないアカウントでは、管理者グループであっても「実行する権限がありません」といったエラーがでることがあり、シェル=コマンドプロンプトから操作する場合、コマンドプロンプトを[管理者として実行]で起動することで、問題なく動作します。ビルトインAdministratorと動作が違う、というなら、まずはこの点を確認してください。

    ちなみに「Head_Adminのグループ」などというセキュリティグループはWindowsには用意されていません。したがって質問者さんの組織(会社)で設定した、あるいはサードパーティのプログラムがインストール時に用意したものでしょう。Active Directoryオブジェクトのアクセス許可をカスタマイズ(委任など)しているのであれば、そこに「Head_Adminのグループ」がフルコントロール設定されているなら、そのアクセス許可設定に依存する可能性はあります。ですがこちらに詳細な設定はわからないので、質問者さん側で確認いただくことになりますね。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    いつも参考になるアドバイスいただきありがとうございます。

    Head_Adminですが、ビルトインだと思っていましたがおっしゃる通り固有のものでした。。

    管理者にて実行できるか、またHead_Adminのアクセス許可設定について確認してみます。

    ご回答頂き、どうもありがとうございました。

    2018年3月23日 0:12