none
ADのAdministrator権限を常時使用しないための方法について RRS feed

  • 質問

  • これまでAdministrator権限を普段使用し、ユーザーの登録削除などの日々のオペレーションを行っていましたが、あまりにもリスクが高いとのことにより、この度Administrator権限は普段使用しないように管理し、より低権限のユーザーを新規に作成しようということになりました。

    そこで質問です。

    新たなユーザーを作成する際に下記のオペレーションができる最低限の権限を付与したい場合はどのように作成すればよいでしょうか。

    ・ユーザの追加
    ・ユーザの削除
    ・グループの追加
    ・グループの削除
    ・ユーザのグループ変更
    ・ユーザのパスワード変更
    ・ユーザの無効化
    ・ユーザのアンロック
    ・ユーザの一覧表示
    ・グループの一覧表示
    ・アカウントロックされたユーザ一覧の表示

    また、Administratorのロックを解除できるユーザーはAdministrator権限のみでしょうか?

    初歩的な質問で申し訳ありませんが、よろしくお願いいたします。

    • 編集済み Akane0704 2018年2月28日 10:05
    2018年2月28日 10:04

回答

すべての返信

  • 希望されている事を実現させるには、オブジェクト制御の委任ウィザード等を使用し、ユーザーやグループに権限を委任する必要が有ります。

     

    また、アカウントロックの解除権限をユーザーに委任する方法については、Microsoft が「アカウントのロック解除のアクセス許可を委任する方法」と言う技術情報を公開していたのですが、現在は公開されていない様ですので、以下のスレッドを参考にして設定してみて下さい。

     

    https://social.technet.microsoft.com/Forums/windows/en-US/52d72b6b-a969-4c67-87e5-9ba5e3a842c9/delegation-of-control?forum=winserverGP

    2018年3月1日 4:03
  • チャブーンです。

    Lapivyさんの回答で、いうべきことはほぼ満たされていますので、単なるおせっかいかもしれません。

    「あまりにもリスクが高い」とのことですが、リスクの内容はなんでしょうか?それをしっかり理解したほうが、適切な対応ができるかもしれません。

    Linuxや商用UNIXだと、管理者権限は管理用コマンド実行時にのみ機能し、通常作業は一般ユーザーで実行します。その意味だと、Windowsではツール実行の時だけ「runasコマンド」を使うことで、管理業務だけ管理者権限を行使することもできます。

    オペミスでオブジェクトを削除してしまう可能性がある場合、「誤って削除されないようにオブジェクトを保護する」設定をONにしておけば、管理者権限に関係なく該当オブジェクトの削除は禁止されます。アクセス許可ではなく、オブジェクトに削除禁止属性を設けることで、管理者権限のオペミスを防ぐ機能になっているわけです。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2018年3月1日 4:27
    モデレータ
  • 希望されている事を実現させるには、オブジェクト制御の委任ウィザード等を使用し、ユーザーやグループに権限を委任する必要が有ります。

     

    また、アカウントロックの解除権限をユーザーに委任する方法については、Microsoft が「アカウントのロック解除のアクセス許可を委任する方法」と言う技術情報を公開していたのですが、現在は公開されていない様ですので、以下のスレッドを参考にして設定してみて下さい。

     

    https://social.technet.microsoft.com/Forums/windows/en-US/52d72b6b-a969-4c67-87e5-9ba5e3a842c9/delegation-of-control?forum=winserverGP

    アドバイスいただきありがとうございます。

    参考させていただきます。

    2018年3月5日 1:32
  • ご回答いただきありがとうございます。

    リスクが高いというのは単純に不正アクセスされた際にAdministratorをなんの保護もしていないので簡単に使用されてしまう可能性があるという意味で、リスクを細かく分析しているわけではありませんでした。

    今回に関してはLapivyさんの解答内容の方法で対処すれば問題無さそうですので、それで実施したいと思います。

    どうもありがとうございました。

    2018年3月5日 1:36
  • フォーラム オペレーターの栗下 望です。
    Akane0704 さん、こんにちは。

    ご投稿いただきましてありがとうございます。
    フォーラム オペレーターからのお願いです。

    当フォーラムでは参考になった投稿には投稿者さんからの [回答としてマーク] を設定いただいております。

    ご協力の程、どうかよろしくお願いいたします。


    参考になった投稿には回答としてマークの設定にご協力ください
    MSDN/TechNet Community Support 栗下 望

    2018年3月5日 2:43
    モデレータ