none
ユーザーの所属グループの付与の権限について RRS feed

  • 質問

  • 今回、WindowsServer2008R2のActive Directoryにドメイン参加しているWindows7のPCから

    VB6で開発したアプリによって、Active Directoryにユーザーの追加と必ず追加するグループ(Aと仮称する)を設定する機能があるのですが、

    今回、アプリを実行するユーザーが所属するAのグループの権限を管理者からユーザー権限に変更することになったのですが、

    ユーザー権限では、Active Directoryにユーザーの追加と所属グループの追加が出来ません。

    そこで、Aのグループにユーザーの作成権限を委任することで、ユーザー権限でもユーザーの作成のみ可能にすることで

    代用しようと考えますが、Aのグループを追加する権限がわからないため委任できず、作成したユーザーの所属グループに

    Aのグループを追加する部分でアクセス権がないため、エラーになります。

    どう対処すればよろしいでしょうか。

    ご教授いただけないでしょうか。よろしくお願いいたします。

    2017年10月12日 8:02

回答

  • チャブーンです。

    ユーザーアカウントの「所属するグループ」の属性ですが「memberOf」という属性になります。

    ですが、「memberOf」という属性は後方リンクという、別のオブジェクトの属性と紐付いたシステム属性となり、OSが変更する項目(管理者権限があっても変えられない)になります。

    memberOfに対応した属性ですが、「セキュリティグループ」オブジェクトの「member」属性になり、ここにユーザーを書き込むと、対象ユーザーのmemberOfが自動的に変わるしくみです。

    したがって、追加したい「セキュリティグループ」オブジェクトの「member」属性に対する書き込みの許可を与える必要があります。

    特定のセキュリティグループだけが対象なら、そのグループオブジェクトに直接アクセス許可を指定すればいいですが、たくさんのグループが対象の場合、一カ所のOUにグループオブジェクトを集めたうえ、そのOUに対して「子オブジェクト」である「セキュリティグループ」オブジェクトの「member」属性に対する書き込みの許可を与える、ということになると思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2017年10月12日 19:46
    モデレータ

すべての返信

  • チャブーンです。

    ユーザーアカウントの「所属するグループ」の属性ですが「memberOf」という属性になります。

    ですが、「memberOf」という属性は後方リンクという、別のオブジェクトの属性と紐付いたシステム属性となり、OSが変更する項目(管理者権限があっても変えられない)になります。

    memberOfに対応した属性ですが、「セキュリティグループ」オブジェクトの「member」属性になり、ここにユーザーを書き込むと、対象ユーザーのmemberOfが自動的に変わるしくみです。

    したがって、追加したい「セキュリティグループ」オブジェクトの「member」属性に対する書き込みの許可を与える必要があります。

    特定のセキュリティグループだけが対象なら、そのグループオブジェクトに直接アクセス許可を指定すればいいですが、たくさんのグループが対象の場合、一カ所のOUにグループオブジェクトを集めたうえ、そのOUに対して「子オブジェクト」である「セキュリティグループ」オブジェクトの「member」属性に対する書き込みの許可を与える、ということになると思います。


    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2017年10月12日 19:46
    モデレータ
  • チャブーンさん、お返事ありがとうございます。

    まだ、解決にはいたっておりませんが、権限について理解することができました。

    ありがとうございます。

    memberOF属性など、教えていただいた情報を元に設定の見直しなどを行っていきます。

    また、設定を見直していて、自分の無知さが身にしみたため、

    再度勉強しなおしてみます。

    この度はありがとうございました。

    2017年10月13日 2:45