- PR -

Active Directory ドメイン下での権限について

«前のページへ 1|2
投稿者投稿内容
りょう
会議室デビュー日: 2005/12/09
投稿数: 11
投稿日時: 2005-12-16 11:02
引用:


ドメインユーザとローカルユーザ、区別ついてますか?



この点は理解しております。
PC起動時にログオンするユーザーを替える部分ですよね
PC単体で使用する場合ローカルユーザー
ドメインのメンバーにて使用する場合ドメインユーザー

今回の場合Active Directoryのユーザーとグループに”test”アカウントを作成しAdministratorsのグループに属しています。
クライアントPCにも”test”アカウントを作成しAdministratorsに属しています。これでローカルPCのAdministratorとして作業ができますが、ドメインに参加した途端中途半端なアカウントになっているようなのですが・・・

引用:


ドメインやOUのグループポリシーで、制限されたグループとして、
Administratorsを定義してたりしますか?




特にこのような箇所は触ってないので初期常態かと思います。

何かグループポリシーとか変更が必要なのでしょうか?
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2005-12-16 11:18
引用:

引用:


ドメインユーザとローカルユーザ、区別ついてますか?



この点は理解しております。


引用:

今回の場合Active Directoryのユーザーとグループに”test”アカウントを作成しAdministratorsのグループに属しています。

こちらは、ドメインユーザのtestをグローバルグループのAdministratorsに
属させているように見えます。

引用:

クライアントPCにも”test”アカウントを作成しAdministratorsに属しています。

こちらは、ローカルユーザのtestをローカルグループのAdministratorsに
属させているようにしか見えません。


区別付いてないようにしか見えないんですが。
_________________
Mattun
Microsoft MVP for Directory Services
(Oct 2006-Sep 2007)
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-12-16 17:47
こんばんわ.
引用:

Mattunさんの書き込み (2005-12-16 11:18) より:

区別付いてないようにしか見えないんですが。

つまり,test は2箇所に作る必要は無いのです -> りょう様
Active Directory に参加する際,
local の Users group には DomainUsers が追加され,
local の Administrators には DomainAdmins が追加されます.
つまり,test という DomainUsers を作ると自ずと local の Users 権限を持ちます.
ここで,local に作成した test という user account は考慮に入れないでください.
おそらく混乱するでしょうから.

Active Directory の DomainUsers に所属する user account に,
DomainAdmins 権限を与えなく無いけど PC local な Administrators 権限は与えたい,
つまり Active Directory の管理権限を取り除いた PC の管理権限を与えたい,
という理解でよいですよね? -> りょう様

とすると
引用:

今回の場合Active Directoryのユーザーとグループに”test”アカウントを作成しAdministratorsのグループに属しています。
クライアントPCにも”test”アカウントを作成しAdministratorsに属しています。これでローカルPCのAdministratorとして作業ができますが、ドメインに参加した途端中途半端なアカウントになっているようなのですが・・・

ここでは local 側に test は作ってはいけません.
それを作るということは,test@ActiveDirectory と test@localPC の,
全く別の user account を作ることになります.
それはまったく別の user account なので,
一方の設定はもう一方に影響を及ぼしません.
※つまり,同姓同名の人間の一方と知り合いでも,
※もう一方はアカノ他人というわけです.

つまり,りょう様が書いている作業の内訳は
・test@ActiveDirectory を DomainUsers に作成
・test@localPC を local の Users に作成
・test@localPC を local の Administrators に所属させる
・しかし test@ActiveDirectory は DomainUsers のままなので,
local 上では Users のまま
となると推察されます.

実際にやらなければならないのは,
・test@ActiveDirectory を DomainUsers に作成
・test@ActiveDirectory を local の Administrators に所属させる
だけなのです.

もっとも早い解決方法は,local PC 上で,
DomainUsers を Administrators に所属させることです.
それにより,全ての DomainUsers は Active Directory に対しては
管理者権限を持ちませんが,
local PC には Administrators 権限,即ちお望みの管理者権限を持ちます.

意図するところはこんな感じだと思うのですが如何でしょうか? -> りょう様
説明に不足/錯誤あればご指摘ください -> Mattun 様
りょう
会議室デビュー日: 2005/12/09
投稿数: 11
投稿日時: 2005-12-16 19:02
kaz 様!!

引用:


Active Directory に参加する際,
local の Users group には DomainUsers が追加され,
local の Administrators には DomainAdmins が追加されます.
つまり,test という DomainUsers を作ると自ずと local の Users 権限を持ちます.
ここで,local に作成した test という user account は考慮に入れないでください.
おそらく混乱するでしょうから.

実際にやらなければならないのは,
・test@ActiveDirectory を DomainUsers に作成
・test@ActiveDirectory を local の Administrators に所属させるだけなのです



同姓同名の別人をAdministratorに設定して管理者になれないと大騒ぎになっていました。
ご教授いただいた通りに設定すれば・・・・
そうです!こうしたかったのです。

皆さんに色々と教えていただきまして勉強になりました。
また、初歩的な質問等するかと思いますが、よろしくお願いいたします

ご協力いただきました皆さんに深く感謝し案件完了とさせていただきます
ありがとうございました。
«前のページへ 1|2

スキルアップ/キャリアアップ(JOB@IT)