- PR -

ActiveDirectoryでローカルPCの権限設定について

«前のページへ 1|2
投稿者投稿内容
ぴよこ
ベテラン
会議室デビュー日: 2006/12/11
投稿数: 61
投稿日時: 2007-03-14 12:22
Sunvisorさんの方法に一票。

ところで話、脱線するかもしれないけど、
Mattunさんの「制限されたグループ」
+アカウントの「ログオン先」
(ADのアカウント→プロパティ→アカウント→ログオン先→次のコンピュータ)
の組み合わせだと、ログオン先PCの制限可能でしたっけ?
QDR
会議室デビュー日: 2007/03/13
投稿数: 5
投稿日時: 2007-03-14 15:20
こんにちは。

いろいろとアドバイスありがとうございます。

クライアント情報が漏れていましたがクライアントはXPと2000があります。

実機での設定は後日になるため、職場にあるWindows2000ServerにActiveDirectoryを導入してテストしてみたいと思います。
QDR
会議室デビュー日: 2007/03/13
投稿数: 5
投稿日時: 2007-03-18 00:48
こんばんは。

遅くなりましたが、kazさん、Sunvisorさんの手順でWindows2000Server上でのテストはうまくいきました。
月曜日にWindows2003Serverで設定するので、解決できて助かりました。

ありがとうございました。
チャブーン
大ベテラン
会議室デビュー日: 2006/11/25
投稿数: 149
投稿日時: 2007-03-19 13:06
チャブーンです。

#いきなりのつっこみで恐縮ですが...

> ポリシーで実現するとしたら、「制限されたグループ」が該当しますが、
> 各端末で使う各DomainUsersを、各ドメインメンバ端末のAdministrators
> グループに入れる、という状態になる=DC以外で管理者権限を持つ状態に
> なるので、実質使えないですね。

うえのような設定でなく、ちゃんと「各端末のローカル Administrators グループのメンバに Domain Users を加える」ことが "制限されたグループ" ポリシーでできますよ。

ポイントとしては、

1.必要なクライアント端末オブジェクトにだけポリシーを適用させる(ドメインコントローラにポリシーを適用させない)
2.最初に設定(ポリシーに追加)するグループ名は単に "Administrators" として設定しておく

になるはずです。
«前のページへ 1|2

スキルアップ/キャリアアップ(JOB@IT)