none
ユーザーアカウントでのActiveDirectoryのメンテナンス方法について RRS feed

  • 質問

  • 現在、Windowsドメインにまつわる主な作業(ドメインユーザーアカウントのメンテナンス、PCのドメイン参加等々)の全てを
    特権ユーザー(ドメインAdministrator)で実施しているのですが、その各作業の担当者がそれぞれ異なるため、それら関係者が
    特権ユーザーのパスワードを共有して、各作業を実施しています。
    その改善として、各作業について、必要最小限の権限を持ったドメインアカウント(別途、専用オペレーターアカウント作成予定)にて
    作業するように変更したいと考えています。

    問合せ1.)
    下記の2項目の作業について、その改善方法として、下記記載の手順に変更したいと考えておりますが、実現可能でしょうか?
    実現可能な場合、その手順もご教示いただけませんでしょうか?

     ・PCのドメイン参加
      → コンピュータアカウントのみ操作できる(もしくはPCのドメイン参加のみ実施できる)権限を持ったオペレーターアカウントを作成し、
        このオペレーターアカウントにてドメイン参加を実施する。
     ・ドメインユーザーアカウントのメンテナンス(作成・変更・削除)
      → ユーザーアカウントのみ操作できる権限を持ったオペレーターアカウントを作成し、このオペレーターアカウントにて
        ドメインコントローラーに対話的にログオンし、ユーザーアカウントをメンテナンスする。

    問合せ2.)
    オペレーターアカウントにてドメインコントローラーに対話的にログオンし、各種コマンドを記載したbatファイルを
    ドメインコントローラーのタスクにてスケジュール実行したいと考えておりますが、その手順をご教示いただけませんでしょうか?


    ○ActiveDirectory構成情報
    フォレスト:1
    ドメイン:1
    サイト:1
    ドメインコントローラー:2台
    OS:Windows Server 2003 R2 sp2
    ドメイン機能レベル:Windows Server 2003
    フォレスト機能レベル:Windows 2000

    2012年10月19日 8:46

回答

すべての返信

  • 問い合わせ1について、特定のOUの配下の権限の一部を「委任」する手段では要望は満たせないでしょうか。

    http://www.google.co.jp/url?sa=t&rct=j&q=&esrc=s&source=web&cd=3&cad=rja&ved=0CDQQFjAC&url=http%3A%2F%2Fdownload.microsoft.com%2Fdownload%2F6%2Fe%2F0%2F6e0c44fc-20c7-4eb8-aaa7-cb2f784803bb%2FM9.doc&ei=TZGBUPACpPyLAs_egfgE&usg=AFQjCNF8_ElqMFCw1sookhmB94bBLCy-Vw

    http://technet.microsoft.com/ja-jp/library/cc778807(v=ws.10).aspx


    2012年10月19日 17:45
  • hiromiti さん、こんにちは
    フォーラム オペレーターの星 睦美です。

    引き続き質問がないようですので、たかはしもとのぶ さんからの情報がお役にたったのではないかと思います。
    今回は私のほうで[回答としてマーク]させていただきました。
    もし回答の内容に質問がありましたら、遠慮なく[回答としてのマークを解除]して返信できます。

    次回は参考になる回答がありましたらぜひ投稿者から[回答としてマーク]をお願いします。

    それではこれからもTechNet フォーラムをお役立てください。


    日本マイクロソフト株式会社 フォーラム オペレーター 星 睦美

    2012年11月1日 9:32