none
ActiveDirectory参加済みPCのローカル管理者権限について RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    初歩的な質問となってしまうのですが、ドメイン参加済みのPCがあります。

    通常、ドメイン参加済みPCのローカル管理者権限は所属ドメインのDomainAdminsも付与されるかと思います。
    実際、DomainAdminに所属するユーザであれば、所属ドメインに参加したPCの管理も可能です。

    しかし、EnterpriseAdminsに所属するユーザーは、私の認識ではすべてのDomainAdminsに所属しているのと
    同様の権限を有しているとの認識でしたが、実際にはDomainAdminsで行えるようなPCの管理はできませんでした。
    (ローカル管理者権限が必要な場合は、該当ドメインのDomainAdminsに所属するユーザ等で承認する必要あり)

    私の認識があやまっているようなのですが、EnterpriseAdminsはそのようなものなのでしょうか。
    (つまり、EnteroriseAdmins=フォレスト内のドメイン全てのDomainAdmins権限保有者ではない)

    逆に、すべてのドメインのローカル権限を付与するユーザーを作成したい場合どのような権限を与えればよいのでしょうか。
    それぞれのドメインにそれぞれの管理者を作成する以外には手段がないのでしょうか。

    2011年4月21日 16:56
    |

回答

  • Question
    サインインして投票
    1
    サインインして投票

    ドメインに参加したメンバーコンピュータの 各ローカル Administrators グループには 自動的に domain\Domain Admins グループがメンバーとして登録されます。

    これに従って、 domain\Domain Admins に属するメンバーになっているアカウントは各ローカルコンピュータの管理者権限を得られます。

     

    domain\Enterprise Admins は ADスキーマ拡張を行うなどADフォレストに影響ある操作を行う権限は持っていますが、

    domain\Domain Admins のメンバーではないので domain\Enterprise Admins のメンバーにユーザを加えてもそのユーザは各ローカルの管理者権限は得られません。

     

    最も面倒の無いやり方だと、  各ローカルの管理者権限を付与したい ユーザアカウントを domain\Domain Admins のメンバーにすることです。

    しかし、これは 各ローカルの管理者権限だけでなく、ドメイン内の管理操作も出来てしまうという弊害があります。

    面倒ですが、

    1.domain\LocalPcAdmins などのグループを作成し、 ドメイン管理者が各ローカルの Administrators グループのメンバーに domain\LocalPcAdmins を追加します。

    2.各ローカルPCの管理者権限を与えたいユーザを domain\LocalPcAdmins のメンバーに加えます。

     

    以前に ドメインの各メンバーコンピュータの ローカル Administrators グループに 追加のグループを簡単に登録するには という記事が有ったような無かったような・・・

    手作業で全部やれば間違いありませんが、クライアント数が多いと大変なので、 ログオンスクリプト的な物でなんとかするのだったような気がしていますが

    うろ覚えです。

     

    2011年4月22日 0:21
    |
  • Question
    サインインして投票
    1
    サインインして投票

    そもそも、ローカル管理者とはadministratorsグループに所属しているメンバーになります。

    ローカルadministratorsグループにドメインクライアントPC管理者グループを入れ込んだ方が、Enterprise Admins 云々とか考えなくてよろしいかと思われます。

    ではどのように行うかというと、GPOの"制限されたグループ"から入れ込むことが可能です。

    是非試してみてください。

    以上、参考になれば幸いです。

    MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.wordpress.com/
    2011年4月22日 0:33
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    1
    サインインして投票

    ドメインに参加したメンバーコンピュータの 各ローカル Administrators グループには 自動的に domain\Domain Admins グループがメンバーとして登録されます。

    これに従って、 domain\Domain Admins に属するメンバーになっているアカウントは各ローカルコンピュータの管理者権限を得られます。

     

    domain\Enterprise Admins は ADスキーマ拡張を行うなどADフォレストに影響ある操作を行う権限は持っていますが、

    domain\Domain Admins のメンバーではないので domain\Enterprise Admins のメンバーにユーザを加えてもそのユーザは各ローカルの管理者権限は得られません。

     

    最も面倒の無いやり方だと、  各ローカルの管理者権限を付与したい ユーザアカウントを domain\Domain Admins のメンバーにすることです。

    しかし、これは 各ローカルの管理者権限だけでなく、ドメイン内の管理操作も出来てしまうという弊害があります。

    面倒ですが、

    1.domain\LocalPcAdmins などのグループを作成し、 ドメイン管理者が各ローカルの Administrators グループのメンバーに domain\LocalPcAdmins を追加します。

    2.各ローカルPCの管理者権限を与えたいユーザを domain\LocalPcAdmins のメンバーに加えます。

     

    以前に ドメインの各メンバーコンピュータの ローカル Administrators グループに 追加のグループを簡単に登録するには という記事が有ったような無かったような・・・

    手作業で全部やれば間違いありませんが、クライアント数が多いと大変なので、 ログオンスクリプト的な物でなんとかするのだったような気がしていますが

    うろ覚えです。

     

    2011年4月22日 0:21
    |
  • Question
    サインインして投票
    1
    サインインして投票

    そもそも、ローカル管理者とはadministratorsグループに所属しているメンバーになります。

    ローカルadministratorsグループにドメインクライアントPC管理者グループを入れ込んだ方が、Enterprise Admins 云々とか考えなくてよろしいかと思われます。

    ではどのように行うかというと、GPOの"制限されたグループ"から入れ込むことが可能です。

    是非試してみてください。

    以上、参考になれば幸いです。

    MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.wordpress.com/
    2011年4月22日 0:33
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    SHIMSOFTさま

    ご回答ありがとうございます。

    >domain\Enterprise Admins は ADスキーマ拡張を行うなどADフォレストに影響ある操作を行う権限は持っていますが、
    >domain\Domain Admins のメンバーではないので domain\Enterprise Admins のメンバーにユーザを加えてもそのユーザは各ローカルの管理者権限は得られません。

    この点は完全に勘違いしておりました。

    お教えいただいた内容で理解できました。

    結果的にはローカルの管理権限は別途何らかの手段で付与・管理する必要があるということなので、適宜対応してみたいと思います。

    ご回答ありがとうございました。

    2011年4月25日 19:21
    |
  • Question
    サインインして投票
    0
    サインインして投票

    ABE NAOKI さま

    ご返信ありがとうございます。

    >ではどのように行うかというと、GPOの"制限されたグループ"から入れ込むことが可能です。

    こちらさっそく試してみたいと思います。

    まだまだ理解不足の点が多く勉強や経験を積まねばと思い知らされます。

    ご回答ありがとうございました。

    2011年4月25日 19:22
    |