お世話になります。
この度、社内で使用しているドメイン環境で、複数のシステム管理担当者に対して、個別に
サーバ操作用ドメインユーザーアカウントを発行したいと考えております。
当該アカウントを用いて「グループポリシーオブジェクト(GPO)の編集・新規作成・OU
リンク等を行いたい」というのが要件となります。
ただし、付与する権限は必要最小限として、原則Administrators・DomainAdmins権限は
付与しないことを前提としています。
そこで、当該アカウントに対して「GroupPolicyCreatorOwners」グループ権限を付与しま
したが、以下の結果となりました。
新規GPO作成:○ 自身作成のGPO編集:○
他アカウント作成GPO編集:× OUリンク:×
情報収集すると、「GroupPolicyCreatorOwners」グループ権限で、既存GPO(ドメイン
管理者が作成)を編集するには、GPO毎に対して、「GroupPolicyCreatorOwners」グループ
のアクセス許可設定が必要とのことでした。
※OUリンクは、AD制御の委任で「グループポリシーのリンクの管理」を各OUへ設定すること
で解消済み。
上記の対応でも一応は、要件を満たせるとは考えます。しかしながら、複数人でシステム管理・
運用を行うため、新規GPOを作成の都度、アクセス許可設定を行うというのは、運用が煩雑化する
懸念があり、他の解決策を模索している状況です。
前置きが長くなりましたが、上記の方法以外で、非管理者アカウントに対して、GPO編集(他アカ
ウントが作成したものを含む)を可能とする方法をご存じな方はいらっしゃいますでしょうか。
理想としては、GPO新規作成した際、アクセス許可の既定値に「GroupPolicyCreatorOwnersの
フルコントロール」を登録できるようなものが望ましいと考えております。
ご助力をいただきたく、お願い申し上げます。
以下、弊社システム環境概要となります。
【環 境】
DC(OS):WindowsServer2012R2(シングル構成)
AD機能レベル:WindowsServer2008R2(ドメイン・フォレスト共に同じ)
よろしくお願いいたします。
以 上
