none
一般ユーザーに他のユーザーやグループを削除できないようにしたい RRS feed

  • 質問

  • DomainUsersとRemoteDesktopUsersのグループのみに所属しているユーザーが他のユーザーを削除できないようにしたいのですが、どこの設定を変更すればいいのでしょうか。現状は下記の通り削除が押せる状態になっています。

    Active Directoryユーザーとコンピューター>Users>各ユーザーやグループを選択して右クリック>削除

    AD初心者のため初歩的な質問かもしれませんが、よろしくお願いいたします。


    2017年11月8日 9:54

回答

  • やきです。ちょっと面倒ですが…

    表示>拡張機能 を有効にした状態で削除されてしまうユーザを右クリックし、プロパティを開きます。

    セキュリティタブより詳細設定を開きます。

    所有者が、問題となっているユーザでないことを確認します。

    「アクセス許可」タブにてこのユーザーに割り当てられている権限を確認します。

    プリンシパルでソートして

    ・Everyone
    ・Authenticated Users
    ・問題となっているユーザ

    を開いて、「削除」「ユーザーの削除」「グループの削除」いずれかにチェックが入っている許可エントリがあれば、そのエントリが犯人です。

    続いて、継承元で子オブジェクトの削除を許可しているエントリを探します。上記プリンシパルについて

    ・「継承元」が「すべての子オブジェクト」「すべての子ユーザ/グループオブジェクト」となっているもの
    ・「継承元」が「子オブジェクト」「子ユーザ/グループ オブジェクト」となっていて、継承元が親のもの

    となっている継承元のプロパティを開き、同様に確認します。

    2017年11月29日 9:33

すべての返信

  • チャブーンです。

    ADUC(ユーザーとコンピューター)での「一般ユーザー」の挙動ですが、GUI上、[削除]ボタンをグレーアウトさせることはできません。ボタンを押して[削除しますか?]をOKしても、結果拒否されますので、大丈夫です。

    実際のアカウントで問題が出るとまずいので、試験的なアカウントやグループを試しに作成し、それを一般ユーザーで削除してみれば、分かると思います。

    ただし、OUに対して管理の委任を行っている場合、これが当てはまらないケース(一般ユーザーでもできてしまう)がありますので、その点は注意してください。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2017年11月9日 10:20
    モデレータ
  • チャブーンです。

    ADUC(ユーザーとコンピューター)での「一般ユーザー」の挙動ですが、GUI上、[削除]ボタンをグレーアウトさせることはできません。ボタンを押して[削除しますか?]をOKしても、結果拒否されますので、大丈夫です。

    実際のアカウントで問題が出るとまずいので、試験的なアカウントやグループを試しに作成し、それを一般ユーザーで削除してみれば、分かると思います。

    ただし、OUに対して管理の委任を行っている場合、これが当てはまらないケース(一般ユーザーでもできてしまう)がありますので、その点は注意してください。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    チャブーンさん、いつもありがとうございます。

    削除できてしまう状況だったので、おそらく委任が効いていたものと思われます。

    かなり多くから委任をされているアカウントなので、削除できてしまう権限が一体どのグループからの委任なのかは洗いだすのが大変そうです・・。

    ちなみにこれが入っていたら削除できてしまうだろうというグループ、許可はありますか?

    それとも状況によって千差万別であるから一概には言えないでしょうか。。

    恐縮ですが、アドバイスお願いいたします。

    2017年11月10日 6:05
  • チャブーンです。

    委任している状況でしたら、その状況を「ユーザーオブジェクトのアクセス許可」で確認するしかないでしょう。

    関連するご自身で質問された過去ログのスクリプトを使って、「実際削除可能なユーザーオブジェクト」のアクセス許可一覧を表示してみてください。

    https://social.technet.microsoft.com/Forums/ja-JP/c1d9446a-9ee9-44d6-8d4d-a8b65691cd39/

    会社組織が分かってしまう文字(ドメイン名や固有の名前など)だけを伏せたかたちで、こちらにアップしてもらえれば、どのアカウントに「削除」を許しているのか、分かるかもしれません。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2017年11月11日 6:43
    モデレータ
  • フォーラムオペレーターの栗下 望です。
    Akane0704 さん、こんにちは。

    ご質問いただいた内容ですが
    その後いかがでしょうか?

    チャブーンさんから返信いただいておりますので、
    確認頂き、何か進展がございましたらこちらのスレッドにお知らせくださいね。

    また、参考になった回答には[回答としてマーク]を設定いただければ幸いです。

    どうぞよろしくお願いいたします。


    MSDN/TechNet Community Support 栗下 望

    2017年11月29日 7:29
    モデレータ
  • やきです。ちょっと面倒ですが…

    表示>拡張機能 を有効にした状態で削除されてしまうユーザを右クリックし、プロパティを開きます。

    セキュリティタブより詳細設定を開きます。

    所有者が、問題となっているユーザでないことを確認します。

    「アクセス許可」タブにてこのユーザーに割り当てられている権限を確認します。

    プリンシパルでソートして

    ・Everyone
    ・Authenticated Users
    ・問題となっているユーザ

    を開いて、「削除」「ユーザーの削除」「グループの削除」いずれかにチェックが入っている許可エントリがあれば、そのエントリが犯人です。

    続いて、継承元で子オブジェクトの削除を許可しているエントリを探します。上記プリンシパルについて

    ・「継承元」が「すべての子オブジェクト」「すべての子ユーザ/グループオブジェクト」となっているもの
    ・「継承元」が「子オブジェクト」「子ユーザ/グループ オブジェクト」となっていて、継承元が親のもの

    となっている継承元のプロパティを開き、同様に確認します。

    2017年11月29日 9:33
  • チャブーンです。

    委任している状況でしたら、その状況を「ユーザーオブジェクトのアクセス許可」で確認するしかないでしょう。

    関連するご自身で質問された過去ログのスクリプトを使って、「実際削除可能なユーザーオブジェクト」のアクセス許可一覧を表示してみてください。

    https://social.technet.microsoft.com/Forums/ja-JP/c1d9446a-9ee9-44d6-8d4d-a8b65691cd39/

    会社組織が分かってしまう文字(ドメイン名や固有の名前など)だけを伏せたかたちで、こちらにアップしてもらえれば、どのアカウントに「削除」を許しているのか、分かるかもしれません。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    回答大変遅れて申し訳ありません。

    アドバイス頂きありがとうございます。

    管理者権限でないとCSVファイルをローカルに置くことができず、断念いたしました・・・。

    しかし、地道にセキュリティタブの継承元をたどることで犯人を見つけることができました。

    ご丁寧にアドバイスいただき、ありがとうございました。

    2017年12月7日 3:23
  • やきです。ちょっと面倒ですが…

    表示>拡張機能 を有効にした状態で削除されてしまうユーザを右クリックし、プロパティを開きます。

    セキュリティタブより詳細設定を開きます。

    所有者が、問題となっているユーザでないことを確認します。

    「アクセス許可」タブにてこのユーザーに割り当てられている権限を確認します。

    プリンシパルでソートして

    ・Everyone
    ・Authenticated Users
    ・問題となっているユーザ

    を開いて、「削除」「ユーザーの削除」「グループの削除」いずれかにチェックが入っている許可エントリがあれば、そのエントリが犯人です。

    続いて、継承元で子オブジェクトの削除を許可しているエントリを探します。上記プリンシパルについて

    ・「継承元」が「すべての子オブジェクト」「すべての子ユーザ/グループオブジェクト」となっているもの
    ・「継承元」が「子オブジェクト」「子ユーザ/グループ オブジェクト」となっていて、継承元が親のもの

    となっている継承元のプロパティを開き、同様に確認します。

    ご回答頂きありがとうございます。

    アドバイスいただいた方法で解決することができました。

    ありがとうございました。

    2017年12月7日 3:25