locked
ADのユーザ権限について

    質問

  • お世話になっております。

     ADのユーザ権限について質問させていただきます。

    ADのユーザ権限を設定していて以下の項目でつまずいております。ネットで調べてみましたが、同様の症状で悩んでいる方はいなさそうだったのでここのフォーラムへ質問した次第です。

    以下の項目についてごきょうじゅいただけますでしょうか?

    ①remote desktop usersについて

    この、remote desktop usersの説明には、”このグループのメンバにはリモートからログオンする権利が与えられています。”となっていますが、このグループに所属させたユーザでログオンを試みてもちもーとデスクトップで接続できません。これは何が原因なのでしょうか?

    試したユーザはデフォルトで所属しているDomainUsers(プライマリグループ)とremote desktop usersに所属させた状態のものを使用して実験しました。

    プライマリグループがDmainUsersなのが原因なのでしょうか?

    ②プライマリグループについて

    ADユーザにはデフォルトでプライマリグループとしてDomainUsersがせっていされていますが、これを変更できないのでしょうか?以下のアカウントを追加した場合は変更できましたが、それ以外のアカウントにはプライマリグループを変更できないのでしょうか?

    ・DomainAdmins

    ・DomainGuests

    ・DomainControllers

    ・DomainComputers

    プライマリグループというものがどのような位置づけのものなのかもイマイチわかっておりません。追加でグループを追加されてもその権限は継承しないというものなのでしょうか?

     

    以上、ご教授いただけたら幸いです。

    • 移動 三沢健二Moderator 2010年3月29日 1:55 AD カテゴリが適切と判断したため。 (移動元:Windows Server 2008 全般)
    2010年3月27日 18:25

回答

  • 1. について、
    "Domain Users"グループに所属するユーザを"Remote Desktop Users"グループに追加するということでOKですよ。
    プライマリグループとして"Domain Users"が設定されているかどうかは、接続できない原因とは関係ないと思います。

    リモートデスクトップで接続できないよくある原因としては以下のようなものがあると思いますが、問題無いでしょうか?
    ・[システムのプロパティ]の[リモート]タブにて「このコンピュータへの接続を許可しない」になっている
    ・↑で「ネットワークレベル認証・・・」の場合に、接続元がネットワークレベル認証をサポートしていない
    ・リモートデスクトップに利用するTCPポート(既定では3389)をファイアウォールで許可していない
    DCがRDセッションホストの役割を持っている場合には以下も原因となります。(管理接続の場合には関係ありません)
    ・セキュリティポリシーの[リモートデスクトップサービスを使ったログオンを許可]に接続したいグループやユーザが追加されていない

    もちろん、上記以外にも原因はあるかもしれませんのでいろいろ調査してみると良いですね。

    2. について、
    変更はできます。以下を参照してください。
    ユーザーのプライマリ グループを変更する
    http://technet.microsoft.com/ja-jp/library/cc776334(WS.10).aspx

    ただ、上記ページにも記述されているようにMacからログインしたりPOSIX互換のアプリケーションを利用する場合以外は変更する必要は無いと思います。
    むしろ「"Domain Users"以外にするとパフォーマンスが低下する場合があります」と記述されているので変更しない方が良いです。

    ユーザを複数のグループに追加した場合、それぞれのグループの権限を取得することになります。プライマリグループのみという事はありません。
    Windowsのみを利用している環境の場合、プライマリグループを意識する必要はほぼ無いです。(グループを削除する時くらい?)

    2010年3月28日 10:32
  • メンバサーバ(サーバB)の"Remote Desktop Users"グループにユーザBは所属していますか?

    ユーザBについての記述で「DomainUsers&RemoteDesktopUsers所属」と記述されているので、
    もしかしたら"Remote Desktop Users"グループをドメインのグループだと思われているのではないかという気がしました。

    "Remote Desktop Users"グループはローカルグループですので、
    DC(サーバA)上の"Remote Desktop Users"グループにユーザBを追加してもその設定がドメイン全体で有効になるわけではありません。
    サーバBにリモートデスクトップ接続ができるのは、サーバBの"Administrators"グループとサーバBの"Remote Desktop Users"グループのメンバのみです。

    2010年3月28日 20:22

すべての返信

  • 1. について、
    "Domain Users"グループに所属するユーザを"Remote Desktop Users"グループに追加するということでOKですよ。
    プライマリグループとして"Domain Users"が設定されているかどうかは、接続できない原因とは関係ないと思います。

    リモートデスクトップで接続できないよくある原因としては以下のようなものがあると思いますが、問題無いでしょうか?
    ・[システムのプロパティ]の[リモート]タブにて「このコンピュータへの接続を許可しない」になっている
    ・↑で「ネットワークレベル認証・・・」の場合に、接続元がネットワークレベル認証をサポートしていない
    ・リモートデスクトップに利用するTCPポート(既定では3389)をファイアウォールで許可していない
    DCがRDセッションホストの役割を持っている場合には以下も原因となります。(管理接続の場合には関係ありません)
    ・セキュリティポリシーの[リモートデスクトップサービスを使ったログオンを許可]に接続したいグループやユーザが追加されていない

    もちろん、上記以外にも原因はあるかもしれませんのでいろいろ調査してみると良いですね。

    2. について、
    変更はできます。以下を参照してください。
    ユーザーのプライマリ グループを変更する
    http://technet.microsoft.com/ja-jp/library/cc776334(WS.10).aspx

    ただ、上記ページにも記述されているようにMacからログインしたりPOSIX互換のアプリケーションを利用する場合以外は変更する必要は無いと思います。
    むしろ「"Domain Users"以外にするとパフォーマンスが低下する場合があります」と記述されているので変更しない方が良いです。

    ユーザを複数のグループに追加した場合、それぞれのグループの権限を取得することになります。プライマリグループのみという事はありません。
    Windowsのみを利用している環境の場合、プライマリグループを意識する必要はほぼ無いです。(グループを削除する時くらい?)

    2010年3月28日 10:32
  • 回答、ありがとうございます。

    >・[システムのプロパティ]の[リモート]タブにて「このコンピュータへの接続を許可しない」になっている

    ⇒許可するに設定しています。「リモートデスクトップを実行しているコンピュータからの接続を許可する」にチェック済。


    ・↑で「ネットワークレベル認証・・・」の場合に、接続元がネットワークレベル認証をサポートしていない

    ⇒上記のとおりNW認証は使用していません。

    ・リモートデスクトップに利用するTCPポート(既定では3389)をファイアウォールで許可していない
    DCがRDセッションホストの役割を持っている場合には以下も原因となります。(管理接続の場合には関係ありません)

    ⇒FWは問題ありません。Administrators権限でログインすれば問題なくできます。

    ・セキュリティポリシーの[リモートデスクトップサービスを使ったログオンを許可]に接続したいグループやユーザが追加されていない

    ⇒セキュリティポリシーの[リモートデスクトップサービスを使ったログオンを許可]にはadministratorsとRemotedesktopUsersを設定しています。

    RemotedesktopUsersに所属させているのにも関わらず、RD接続できません。。。

    まったくわかりません。。。助けてください。。。

    2010年3月28日 12:55
  • 質問者がMAXBETさんで返答がhoge_dinさん?
    何か変ですね・・・

    あと、いろんな所で同じスレッド立ててますけど、結局どこで答えを求めているんでしょうか?
    回答に躊躇してしまいます。

    ADのドメインユーザの権限について
    http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/8f1d2f7a-8ad9-4978-89e8-83c76a4878b7
    ADのユーザ権限について - Yahoo!知恵袋
    http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1238652407

     

    先ほどの回答は少し訂正します。
    誤 : DCがRDセッションホストの役割を持っている場合には以下も原因となります。(管理接続の場合には関係ありません)
    正 : 接続先がDCの場合は以下も原因となります。
    管理接続であったりRDセッションホストの役割を持っていたりは関係無いですね。勘違いしていました。すいません。

    別のドメインユーザを作成してみて接続を試してみたり、別のコンピュータから試してみるというのはどうでしょうか?
    接続しようとするユーザやコンピュータ特有の問題もあるかもしれませんし。
    リモートデスクトップの際にエラー出力などは出ていませんか?出ている場合はどのようなエラーですか?
    もう少し環境や状況について説明(何をどこまで試して、何がどのようにダメだったのか)が無いとこれ以上は難しいですね。

    2010年3月28日 15:30
  • 大変失礼いたしました。

    昔使用していたPCで平行して作業していたので間違ったIDで返信を出してしまいました。申し訳ございません。

    初めはWindows2008の方に立てましたが、ADに立てるのが本筋だと思い、そちらにも立てた次第です。複数投稿でご迷惑をおかけしました。失礼いたしました。でも有益な情報が得られています。

    現在の具体的な状況ですが以下のような状況です。

    【状況】

    OS:windowsServer2008SP2

    ドメイン;hoge.local

    サーバ1:ドメコン#1

    サーバ2:メンバサーバ#1

    ドメイン:hoge.local

    ユーザ1:hoge\Administrator(DmainAdmins&Administrators所属)

    ユーザ2:hoge\test(DomainUsers&RemoteDesktopUsers所属)

    この状態でユーザ2でサーバ2へのログインができないといった状況です。

    ローカルポリシーのターミナルサービスの設定へRemoteDesktopUsersを追加することでユーザ2でサーバ1へのログオンはできましたが、ユーザ2でサーバ2へのログオンができないといった状況です。。。

     

    2010年3月28日 16:35
  • 文字化けしていますね。。。修正します。

     

    大変失礼いたしました。

    昔使用していたPCで平行して作業していたので間違ったIDで返信を出してしまいました。申し訳ございません。

    初めはWindows2008の方に立てましたが、ADに立てるのが本筋だと思い、そちらにも立てた次第です。複数投稿でご迷惑をおかけしました。失礼いたしました。でも有益な情報が得られています。

    現在の具体的な状況ですが以下のような状況です。

    【状況】

    OS:windowsServer2008SP2

    ドメイン⇒hoge.local

    サーバA⇒ドメコン#1

    サーバB⇒メンバサーバ#1

    ドメイン⇒hoge.local

    ユーザA⇒hoge\Administrator(DmainAdmins&Administrators所属)

    ユーザB⇒hoge\test(DomainUsers&RemoteDesktopUsers所属)

    この状態でユーザBでサーバBへのログインができないといった状況です。

    ローカルポリシーのターミナルサービスの設定へRemoteDesktopUsersを追加することでユーザBでサーバAへのログオンはできましたが、ユーザBでサーバBへのログオンができないといった状況です。。。

     

    2010年3月28日 16:38
  • メンバサーバ(サーバB)の"Remote Desktop Users"グループにユーザBは所属していますか?

    ユーザBについての記述で「DomainUsers&RemoteDesktopUsers所属」と記述されているので、
    もしかしたら"Remote Desktop Users"グループをドメインのグループだと思われているのではないかという気がしました。

    "Remote Desktop Users"グループはローカルグループですので、
    DC(サーバA)上の"Remote Desktop Users"グループにユーザBを追加してもその設定がドメイン全体で有効になるわけではありません。
    サーバBにリモートデスクトップ接続ができるのは、サーバBの"Administrators"グループとサーバBの"Remote Desktop Users"グループのメンバのみです。

    2010年3月28日 20:22
  • 回答ありがとうございます。

    >"Remote Desktop Users"グループはローカルグループですので、
    DC(サーバA)上の"Remote Desktop Users"グループにユーザBを追加してもその設定がドメイン全体で有効になるわけではありません

    その認識はありませんでした。ということは、Administrators権限は与えたくないが、リモートデスクトップ接続権限を与えたい場合にはそれぞれのサーバのローカルグループに設定しなくてはいいけないということでしょうか?

    そうなると運用は大変になってしまいそうですね。。。

    また、ドメインコントローラのユーザグループの存在意味は何なのでしょうか?ドメイングループとしても存在意味がないように感じているのですが。。。

    無知で申し訳ございませんが、ご教授いただければと思います。

    2010年3月28日 20:59
  • こんにちは、フォーラムオペレーターの三沢健二です。

    yottun8 さん、ご丁寧なアドバイスありがとうございます。

    こちらのご質問ですが、Active Directory カテゴリが適切と判断しましたので、勝手ながらカテゴリを移動させていただきました。
    (移動元:Windows Server 2008 カテゴリ)

    また、Active Directory カテゴリの方でも同様のご質問を投稿いただいていますので、(すでにやり取りが行われている状況でしたが、)皆様からの情報が効果的に集まるよう、こちらのスレッドの方は一旦ロックさせていただきますね。
    (色々な場所に投稿された方が情報は集まりやすいと思うのですが、今回も双方のカテゴリで同じような方向性で話が進んでいますので、、、)


    スレッドをご覧いただいている方は、下記のスレッドに回答いただけると幸いです。

    - 関連スレッド
    ADのドメインユーザの権限について
    http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/8f1d2f7a-8ad9-4978-89e8-83c76a4878b7


    現在の状況としては下記のような状況でしょうか。
    ---
    ある端末にリモートデスクトップでログオンしたいがログオンできない。
    リモートデスクトップでログオンしたい端末はドメインのメンバサーバー。
    ログオンさせたいユーザーを、ドメイン(DC)上の "remote desktop users" グループに追加した。
    メンバサーバーの場合であれば、そのメンバサーバー上のローカルの "remote desktop users" グループ(もしくはローカルの "Administrators"  グループ) にユーザーを追加する必要がある。
    ---

    なお、可能であればご投稿される際にご利用の環境や状況について、可能な限り詳細にお伝えいただければと思います。

    補足:ドメイン(ドメインコントローラー)上の "remote desktop users" グループについてですが、ドメインコントローラーに昇格するとローカルグループがなくなるため、といったところでしょうか。


    よろしくお願いいたします。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    2010年3月29日 2:00
    モデレータ