none
一般ユーザにローカルディスクへのフォーマット権限を与えたい RRS feed

  • 質問

  • みなさんこんにちは。

    ドメインの一般ユーザがUSBフラッシュメモリーを使ってPGPdisk(暗号化ディスク)を使えるように
    したいと考えております。

    USBフラッシュメモリーはリムーバルディスクなので、グループポリシーで一般ユーザもフォーマット可能にできました。
    しかし、PGPdiskの場合、USBフラッシュメモリー内に暗号化領域を確保し、その領域をひとつのボリューム見せる
    (たとえばFドライブとして)ようです。
    実際に使うにはその暗号化領域をフォーマットする必要があるのですが、この暗号化領域はリムーバルディスクとして
    ではなく、ローカルディスクとしてOS上認識されてます。通常の設定ではローカルディスクは管理者権限がないと
    ファーマットできないようです。

    一般ユーザを管理者権限にあげると他の部分のセキュリティーに影響するため、ローカルディスクのフォーマットの権限を
    一般ユーザ(Interactive Users)まで落とす方法はないでしょうか?

    利用環境

     ActiveDirectory:Windows Server2003 R2 ServicePack1

     クライアントPC:Windows XP professional ServicePack2


    以上、お知恵をお貸し頂けたら幸いです。
    2008年12月12日 6:16

回答

  • >ローカルディスクのフォーマットの権限を一般ユーザ(Interactive Users)まで落とす方法はないでしょうか?
    についてですが、私が調べた結果ではありませんでした。(他の回答者よりの回答を待ってください。)

     

    http://www.asahi-net.or.jp/~ym3y-oksm/nt/w2k/w2k29.htm

    たとえば、うえによると(他にもWEB検索するとありましたが)MOなどのリムーバルディスクは、セキュリティオプションをいじりInteractive Usersまでフォーマット権限を落とせるとありました。ローカルディスクの初期化については「セキュリティオプション」ではいじれないようです。(「ユーザー権利の割り当て」にもローカルディスクの初期化を定義したものはありませんでした。)

     

    ローカルディスクのフォーマットの権限は、Microsoft管理コンソール(MMC)のヘルプを調べてみると

    (以下一部抜粋しました)

    新しいディスクを初期化するには

    この手順をローカルコンヒュータで実行するには、ローカルコンピュータのBackup OperatorsグループまたはAdministratorsグループのメンバであるか、または適切な権限が委任されている必要があります。この手順をリモートで実行するにはリモートコンピュータのBackup OperatorsグループまたはAdministratorsグループのメンバである必要があります。ドメインに参加しているコンピュータではDomain Adminsグループのメンバーがこの手順を実行できる場合があります。

     

    しかし実際は、Backup Operatorsグループでは初期化できないローカルディスクがほとんどのようです。

     

    >一般ユーザを管理者権限にあげると他の部分のセキュリティーに影響するため 

     

    とのことでしたら、ローカルディスクのフォーマット作業を行わせる必要のある一般ユーザをローカルの「Administrators」グループの権限を一時的に与えるか、ドメインコントローラで「Active Directoryユーザとコンピュータ」を立ち上げそのユーザを一時的にドメインの「Domain Admins」グループに所属させる、ローカルディスクのフォーマット作業が終わったらローカルの「Administrators」グループ、「Domain Admins」グループの権限を削除されるのがよろしいかと思います。

    ローカルディスクのフォーマット作業を行う必要のある一般ユーザは、そう沢山必要ではないんですよね。

    沢山必要でしたらドメインコントローラで「Active Directoryユーザとコンピュータ」を立ち上げ、必要のあるユーザを複数選択して「操作」「グループに追加」Domain Adminsグループに一時的に所属させる、または「Users」フォルダ→「Domain Admins」のプロパティ「メンバ」→「所属するメンバ」にユーザをひとつづつ追加していく。(権限を与えたユーザをグローバルグループにまとめる方法もありますが)ローカルディスクのフォーマット作業が終わったら、「Domain Admins」グループからそのユーザを削除されるのがよろしいかと思います。

    しかし、そのローカルディスクのフォーマット作業が仕事の一部であれば、やはり業務上必要なユーザーにのみにローカルの「Administrators」グループの権限を与える、またはドメインの「Domain Admins」グループの権限を与えその仕事をさせるべきでしょう。

     

    2008年12月13日 6:11

すべての返信

  • >ローカルディスクのフォーマットの権限を一般ユーザ(Interactive Users)まで落とす方法はないでしょうか?
    についてですが、私が調べた結果ではありませんでした。(他の回答者よりの回答を待ってください。)

     

    http://www.asahi-net.or.jp/~ym3y-oksm/nt/w2k/w2k29.htm

    たとえば、うえによると(他にもWEB検索するとありましたが)MOなどのリムーバルディスクは、セキュリティオプションをいじりInteractive Usersまでフォーマット権限を落とせるとありました。ローカルディスクの初期化については「セキュリティオプション」ではいじれないようです。(「ユーザー権利の割り当て」にもローカルディスクの初期化を定義したものはありませんでした。)

     

    ローカルディスクのフォーマットの権限は、Microsoft管理コンソール(MMC)のヘルプを調べてみると

    (以下一部抜粋しました)

    新しいディスクを初期化するには

    この手順をローカルコンヒュータで実行するには、ローカルコンピュータのBackup OperatorsグループまたはAdministratorsグループのメンバであるか、または適切な権限が委任されている必要があります。この手順をリモートで実行するにはリモートコンピュータのBackup OperatorsグループまたはAdministratorsグループのメンバである必要があります。ドメインに参加しているコンピュータではDomain Adminsグループのメンバーがこの手順を実行できる場合があります。

     

    しかし実際は、Backup Operatorsグループでは初期化できないローカルディスクがほとんどのようです。

     

    >一般ユーザを管理者権限にあげると他の部分のセキュリティーに影響するため 

     

    とのことでしたら、ローカルディスクのフォーマット作業を行わせる必要のある一般ユーザをローカルの「Administrators」グループの権限を一時的に与えるか、ドメインコントローラで「Active Directoryユーザとコンピュータ」を立ち上げそのユーザを一時的にドメインの「Domain Admins」グループに所属させる、ローカルディスクのフォーマット作業が終わったらローカルの「Administrators」グループ、「Domain Admins」グループの権限を削除されるのがよろしいかと思います。

    ローカルディスクのフォーマット作業を行う必要のある一般ユーザは、そう沢山必要ではないんですよね。

    沢山必要でしたらドメインコントローラで「Active Directoryユーザとコンピュータ」を立ち上げ、必要のあるユーザを複数選択して「操作」「グループに追加」Domain Adminsグループに一時的に所属させる、または「Users」フォルダ→「Domain Admins」のプロパティ「メンバ」→「所属するメンバ」にユーザをひとつづつ追加していく。(権限を与えたユーザをグローバルグループにまとめる方法もありますが)ローカルディスクのフォーマット作業が終わったら、「Domain Admins」グループからそのユーザを削除されるのがよろしいかと思います。

    しかし、そのローカルディスクのフォーマット作業が仕事の一部であれば、やはり業務上必要なユーザーにのみにローカルの「Administrators」グループの権限を与える、またはドメインの「Domain Admins」グループの権限を与えその仕事をさせるべきでしょう。

     

    2008年12月13日 6:11
  • 試験問題作成委員会さま

    調べてくださってありがとうございます。


     試験問題作成委員会 さんからの引用

    >ローカルディスクのフォーマットの権限を一般ユーザ(Interactive Users)まで落とす方法はないでしょうか?
    についてですが、私が調べた結果ではありませんでした。(他の回答者よりの回答を待ってください。)

     

    http://www.asahi-net.or.jp/~ym3y-oksm/nt/w2k/w2k29.htm

    たとえば、うえによると(他にもWEB検索するとありましたが)MOなどのリムーバルディスクは、セキュリティオプションをいじりInteractive Usersまでフォーマット権限を落とせるとありました。ローカルディスクの初期化については「セキュリティオプション」ではいじれないようです。(「ユーザー権利の割り当て」にもローカルディスクの初期化を定義したものはありませんでした。)




    リムーバルディスクについては、ご指摘の方法で一般ユーザでも初期化できることを確認いたしました。
    ありがとうございます。

     試験問題作成委員会 さんからの引用

    ローカルディスクのフォーマットの権限は、Microsoft管理コンソール(MMC)のヘルプを調べてみると

    (以下一部抜粋しました)

    新しいディスクを初期化するには

    この手順をローカルコンヒュータで実行するには、ローカルコンピュータのBackup OperatorsグループまたはAdministratorsグループのメンバであるか、または適切な権限が委任されている必要があります。この手順をリモートで実行するにはリモートコンピュータのBackup OperatorsグループまたはAdministratorsグループのメンバである必要があります。ドメインに参加しているコンピュータではDomain Adminsグループのメンバーがこの手順を実行できる場合があります。

     

    しかし実際は、Backup Operatorsグループでは初期化できないローカルディスクがほとんどのようです。



    私もいろいろ調べましたが、一般ユーザ権限で初期化させる方法が見つからず、シェアウェアソフトのUserformatという

    ソフトウェアでできるところまでいきましたが、利用環境化でこれを導入しても本来の目的は達成できないということが

    わかりました。


    このソフトでフォーマット後にローカルディスク(x)としてマウントされるときに、権限不足で失敗してしまい、エクスプローラ

    などで、フォーマットしたPGPdiskがローカルディスクとして表示されず、データ保存ができないとい問題が発生しました。


    このことから、フォーマットだけでなく、ローカルディスク周りに全般の制御で一般ユーザに権限を与える必要がありそうです。


    ※マウント済みの固定ドライブ(ローカルディスク)を一般ユーザでフォーマットしたい、という場合はこのソフトウェアでも

      有効と思います。



     試験問題作成委員会 さんからの引用

    >一般ユーザを管理者権限にあげると他の部分のセキュリティーに影響するため 

     

    とのことでしたら、ローカルディスクのフォーマット作業を行わせる必要のある一般ユーザをローカルの「Administrators」グループの権限を一時的に与えるか、ドメインコントローラで「Active Directoryユーザとコンピュータ」を立ち上げそのユーザを一時的にドメインの「Domain Admins」グループに所属させる、ローカルディスクのフォーマット作業が終わったらローカルの「Administrators」グループ、「Domain Admins」グループの権限を削除されるのがよろしいかと思います。

    ローカルディスクのフォーマット作業を行う必要のある一般ユーザは、そう沢山必要ではないんですよね。

    沢山必要でしたらドメインコントローラで「Active Directoryユーザとコンピュータ」を立ち上げ、必要のあるユーザを複数選択して「操作」「グループに追加」Domain Adminsグループに一時的に所属させる、または「Users」フォルダ→「Domain Admins」のプロパティ「メンバ」→「所属するメンバ」にユーザをひとつづつ追加していく。(権限を与えたユーザをグローバルグループにまとめる方法もありますが)ローカルディスクのフォーマット作業が終わったら、「Domain Admins」グループからそのユーザを削除されるのがよろしいかと思います。

    しかし、そのローカルディスクのフォーマット作業が仕事の一部であれば、やはり業務上必要なユーザーにのみにローカルの「Administrators」グループの権限を与える、またはドメインの「Domain Admins」グループの権限を与えその仕事をさせるべきでしょう。

     



    ありがとうございます。そうですね。フォーマットするユーザが限定できるならその方法もありますね。

    ただ、今回は”フォーマットを利用する一般ユーザが限定できない”、”利用の時間が限定できない”ので
    事前に管理者グループに参加させ、利用が終わったら管理者グループから抜くという方法は現実問題
    無理な状況です。またユーザを常時管理者グループにしておくこともやはり無理です。

    暗号化ディスクの利用についてはPGPdiskでなく、他のものを検討せざるえない状況です。
    他の方々でも、こんなやり方があるなど情報がございましたらよろしくお願いします。


    2008年12月15日 1:19
  • こんにちは、フォーラムオペレーターの鈴木裕子です

     

    ろばた さん、その後いかがでしたか?

    ご希望の運用はちょっと難しそう・・・という回答でしたが、同様の運用を検討されている方にはこちらの情報も参考になるのではないかと思いましたので、勝手ながら私の方で回答チェックをつけさせていただきました。

    もし不適切であれば、遠慮なく修正してください。

     

    また、回答チェックはスレッドの終了を意味するものではありませんので、その後、別のアプローチで希望を実現したといった情報や、こちらをご覧の他の方でも何か情報をお持ちでしたら、遠慮なく投稿してくださいね!

     

    IT技術者の皆様の情報交換の場として、これからもForumをご活用ください。よろしくお願いします

    2009年1月8日 7:12
    モデレータ