none
非管理者アカウントへのGPO編集権限の付与について RRS feed

  • 質問

  • お世話になります。

    この度、社内で使用しているドメイン環境で、複数のシステム管理担当者に対して、個別に

    サーバ操作用ドメインユーザーアカウントを発行したいと考えております。

    当該アカウントを用いて「グループポリシーオブジェクト(GPO)の編集・新規作成・OU

    リンク等を行いたい」というのが要件となります。

    ただし、付与する権限は必要最小限として、原則Administrators・DomainAdmins権限は

    付与しないことを前提としています。

    そこで、当該アカウントに対して「GroupPolicyCreatorOwners」グループ権限を付与しま

    したが、以下の結果となりました。

     新規GPO作成:○  自身作成のGPO編集:○  

     他アカウント作成GPO編集:×  OUリンク:×

    情報収集すると、「GroupPolicyCreatorOwners」グループ権限で、既存GPO(ドメイン

    管理者が作成)を編集するには、GPO毎に対して、「GroupPolicyCreatorOwners」グループ

    のアクセス許可設定が必要とのことでした。

     ※OUリンクは、AD制御の委任で「グループポリシーのリンクの管理」を各OUへ設定すること

      で解消済み。

    上記の対応でも一応は、要件を満たせるとは考えます。しかしながら、複数人でシステム管理・

    運用を行うため、新規GPOを作成の都度、アクセス許可設定を行うというのは、運用が煩雑化する

    懸念があり、他の解決策を模索している状況です。

    前置きが長くなりましたが、上記の方法以外で、非管理者アカウントに対して、GPO編集(他アカ

    ウントが作成したものを含む)を可能とする方法をご存じな方はいらっしゃいますでしょうか。

    理想としては、GPO新規作成した際、アクセス許可の既定値に「GroupPolicyCreatorOwnersの

    フルコントロール」を登録できるようなものが望ましいと考えております。

    ご助力をいただきたく、お願い申し上げます。

    以下、弊社システム環境概要となります。

    【環 境】

    DC(OS):WindowsServer2012R2(シングル構成)

    AD機能レベル:WindowsServer2008R2(ドメイン・フォレスト共に同じ)

    よろしくお願いいたします。

    以 上





    • 編集済み hoshikai 2018年2月14日 23:37
    2018年2月14日 9:06

回答

  • チャブーンです。

    Group Policy Creator Ownersのアクセス許可ですが、CN=Policies,CN=System,DC=example,DC=com(example.comの場合)のアクセス許可でフルコントロールを与えれば、おっしゃる要望自体は満たせるように思います。[Active Directoryユーザーとコンピューター]からアクセス許可の変更を行っていただければ、よろしいかと思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2018年2月25日 13:57
    モデレータ

すべての返信

  • チャブーンです。

    Group Policy Creator Ownersのアクセス許可ですが、CN=Policies,CN=System,DC=example,DC=com(example.comの場合)のアクセス許可でフルコントロールを与えれば、おっしゃる要望自体は満たせるように思います。[Active Directoryユーザーとコンピューター]からアクセス許可の変更を行っていただければ、よろしいかと思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2018年2月25日 13:57
    モデレータ
  • チャブーン様

    返信が遅くなり、申し訳ございません。

    回答いただいた内容を参考にして対応有無を検討したいと思います。

    ご意見ありがとうございました。

    以 上

    2018年3月16日 3:22