none
クライアントが勝手にドメインからワークグループへ変更する事を防ぐ方法について RRS feed

 > 

  • 全般的な情報交換

  • Discussion
    サインインして投票
    0
    サインインして投票

    社内にActiveDirectoryを導入して1年半程経つのですが、ユーザーが勝手にドメインからワークグループへ設定変更を

    してしまう事が度々あり、なんとかならないものかと策を考えていますので皆さんのご意見をお聞かせ下さい。

     

    弊社では事情により、利用者のドメインアカウントを各クライアントのローカルAdministratorsグループへ追加していますので、

    ユーザーはローカルの管理者権限を持っている状態です。

    ローカルの管理者権限を奪えば良いというのはわかっているのですが、いろいろと不都合が起こるのでこの様な運用をしています。

     

    現在考えている案としては「システムのプロパティ」から「コンピューター名」のタブを無くしてしまい、どうしてもドメインから抜けないと

    いけなかったり、コンピューター名の変更を行わないといけない場合はコマンド操作で行って頂こうと考えています。

    要はユーザーの安易な操作でドメインから抜ける事を防止したいのです。

     

    google等で情報を探しているのですが、「コンピューター名」のタブを隠す方法がみつからず困っておりますので、

    ご存知の方がいらっしゃいましたらご教授下さい。

    2010年3月19日 9:13
    |

すべての返信

  • Discussion
    サインインして投票
    0
    サインインして投票

    ドメインコントローラを構成しているOSが書かれていないのですが、

    http://itpro.nikkeibp.co.jp/article/Windows/20050902/220507/

    http://hehao1.seesaa.net/article/22469354.html

    http://support.microsoft.com/kb/251335/ja

    うえのページやKBにもありますが、

    サポートツールの「adsiedit.msc」を使って、ms-DS-MachineAccountQuota属性の値を0」にしたらいかがでしょうか。

     

    Windows Server 2003 ADではしたのページの方法でサポートツールをインストールできます。

    http://hehao1.seesaa.net/article/22233270.html

    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)
    2010年3月21日 12:28
    |
  • Discussion
    サインインして投票
    0
    サインインして投票

    試験問題作成委員会

    ご意見頂きありがとうございます。

    ドメインコントローラーはWindows Server 2008 Enterpriseのシングルドメイン構成です。

    ms-DS-MachineAccountQuota 属性の値を 0 」としして、一般ユーザーがドメイン内に勝手にコンピュータアカウントを行えないようにする事は知っています。

    (※近日中に運用に組み入れようと現在検証中の項目です)

     

    ただ、私どものやりたい事は

    上述の「一般ユーザーが勝手にドメインに参加する」 事の抑制では無く、

    「ドメインへ参加している状態から勝手にワークグループへ変更し、ドメインを抜けてしまう」 事を

    抑制する方法です。

     

    OSの「システムのプロパティ」から「コンピューター名」のタブを無くしてしまうレジストリ設定党は無いものでしょうか?

    グループポリシーから「システムのプロパティ」を表示しないようにする事は可能なようですが、それでは他の設定も行えなくなってしまう為、これはやり過ぎなような気がしますし。。。

    他にも何か手立てがございましたらご教授の程よろしくお願いします。

    2010年3月21日 15:40
    |
  • Discussion
    サインインして投票
    0
    サインインして投票

    残念ですが、まずローカルのAdministratorのパスワードを知らせている以上はこちらの投稿にあるようにまず、ローカルのAdministratorのパスワードをを変更するスクリプトをスタートアップスクリプトとしてドメイン管理者の方でグループポリシーで登録するか(スクリプトがうまく動作するかはご自身で検証なさってください。)、ドメイン管理者が1台ずつローカルのAdministratorのパスワードを変更していくしかないと思います。

     

    ローカルのAdministratorsグループの所属するメンバを「制限されたグループ」のみにするなら、

    クライアントのコンピュータアカウントを集めたOUに対して、グループポリシーの[コンピュータの構成][Windows の設定][セキュリティの設定][制限されたグループ] →「グループの追加」で

     

    グループ名:「Administrators

    このグループのメンバー:「ドメイン\[一部のパスワード非周知のグループ]

     

    とすると、ローカルのAdministratorsグループには、Administratorと「ドメイン\[一部のパスワード非周知のグループ]」しか存在しなくなります。

    その、「ドメイン\[一部のパスワード非周知のグループ]」にローカルPCの管理作業をさせるような運用をすべきだと思います。

     

    結論的にご要望のことは不可能だと思いますので、Domain usersをローカルのAdministratorsにするのではなくせめて、Power Usersにするべきでしょう。

    試験問題作成委員会(http://shikenmondai.blog.shinobi.jp/)
    2010年4月4日 1:27
    |