none
Administratorsの権限について RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    Active Directoryにユーザーを追加して、「Domain User」グループに所属するように設定しています。ユーザーはパソコンにログインするとき、社内ドメインに各ユーザーでログインします。

    自由にパソコンの環境を変更できるのは良くないのは承知ですが、ドライバーのインストール、ディスクデフラグツールの使用なののとき、「ユーザーアカウント制御」でユーザー名とパスワードの入力を省くよう、各ユーザーにログインしているパソコンの管理は許可するよう、下記の設定を行いました。

    ①Active Directory ユーザーとコンピュータで、「Builtin」の「Administrators」に「Domain User」を追加。

    ②Active Directory ユーザーとコンピュータで、「Builtin」の「Administrators」に「aoki(ユーザー)」を追加。

    ①でも、②でも同様で、各ユーザーがログインしているパソコンで、「ユーザーアカウント制御」画面が表示されて、コンピューターの管理が有効になりません。

    Active Directory ユーザーとコンピュータでは、許可することができないのでしょうか?

    パソコンの方で、「コンピューターの管理」を開き、グループの「Administrators」に「aoki(ユーザー)」を追加しないといけないのでしょうか?

    ご教授のほど、宜しくお願い致します。

    2017年9月8日 8:32
    |

回答

  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    Active Directory ユーザーとコンピュータでは、許可することができないのでしょうか?
    パソコンの方で、「コンピューターの管理」を開き、グループの「Administrators」に「aoki(ユーザー)」を追加しないといけないのでしょうか?

    結論としては、「その通り」となります。クライアント上の管理者権限は、クライアント側の「Administrators」グループにドメイングループが属することで、はじめて取得できます。「Domain Admins」が管理者権限として振る舞えるのは、各コンピューターがドメイン参加する際、自動的にクライアントの「Administrators」グループのメンバーになっているからです。

    ドメインコントローラー側でこれを何とかしたい場合、グループポリシーの「制限されたグループ」というポリシーを使います。使い方については、したのページが参考になるのではないでしょうか。

    http://mctjp.com/2011/08/01/%e5%88%b6%e9%99%90%e3%81%95%e3%82%8c%e3%81%9f%e3%82%b0%e3%83%ab%e3%83%bc%e3%83%97%e3%81%ae%e5%88%b6%e5%be%a1%e3%81%ab%e9%96%a2%e3%81%97%e3%81%a6/

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2017年9月8日 8:46
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    Active Directory ユーザーとコンピュータでは、許可することができないのでしょうか?
    パソコンの方で、「コンピューターの管理」を開き、グループの「Administrators」に「aoki(ユーザー)」を追加しないといけないのでしょうか?

    結論としては、「その通り」となります。クライアント上の管理者権限は、クライアント側の「Administrators」グループにドメイングループが属することで、はじめて取得できます。「Domain Admins」が管理者権限として振る舞えるのは、各コンピューターがドメイン参加する際、自動的にクライアントの「Administrators」グループのメンバーになっているからです。

    ドメインコントローラー側でこれを何とかしたい場合、グループポリシーの「制限されたグループ」というポリシーを使います。使い方については、したのページが参考になるのではないでしょうか。

    http://mctjp.com/2011/08/01/%e5%88%b6%e9%99%90%e3%81%95%e3%82%8c%e3%81%9f%e3%82%b0%e3%83%ab%e3%83%bc%e3%83%97%e3%81%ae%e5%88%b6%e5%be%a1%e3%81%ab%e9%96%a2%e3%81%97%e3%81%a6/

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2017年9月8日 8:46
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーン様

    この度はご回答頂きありがとうございます。

    パソコンの方で、「コンピューターの管理」を開き、グループの「Administrators」に「aoki(ユーザー)」を追加しないといけない

    ということで、承知いたしました。それで、やはり、ドメインコントローラー側で操作して、1台1台設定する手間を省きたかったので、ご教授頂いた「制限されたグループの制御に関して」の手順で、「Administrators」に追加しました。この時、グループは部門のグループではなく、纏めて「Domain User」としました。(一応、コンピューターにログインできるユーザーは制限していますので。)それで、やりたいことは出来て、解決致しました。

    余談ですが、ソフトウェアのインストールでインストーラー起動時、ディスクデフラグツール起動時にクライアントのOSによって、多少、動きに違いがありました。Windows 7/10 は、何も表示されないのに対して、Windows 8/8.1 は、「ユーザーアカウント制御」画面が表示されました。

    グループポリシーを活用していなかったので、今回の方法をご教授頂き、大変勉強になりました。ありがとうございます。また、何かあったときは助けて頂けるとけると幸いです。

    2017年9月11日 8:07
    |