- - PR -
Windows Server 2003ドメインでのユーザ権限について
1
| 投稿者 | 投稿内容 |
|---|---|
|
投稿日時: 2004-07-02 16:30
Windows Server 2003をドメインコントローラとしてドメインを構築しました。
Active Directory(以下、ADとします)も構築しました。 そのような状況下で、ドメインに存在する任意のユーザだけに (1)AD上でのユーザ・コンピュータの追加・変更・削除 (2)データ領域に対する共有フォルダの作成・変更・削除 を行うことができる権限を付与したいのですが、可能でしょうか? 前者であれば「Account Operators」グループに所属すれば可能なのですが、 共有設定を行うことができません。また「Server Operators」グループに 所属すれば、実現したいことをすべて行うことが可能だと思うのですが、 サービスの起動・停止やサーバのシャットダウン、ディスクのフォーマット等の 大きな権限も付与することになるため適切ではないと考えています。 方法は何でも構わないのですが、最低限の操作(1、2を満たす)だけ行える権限の ユーザを作成する方法があれば教えてください。 宜しくお願いします。 |
|
投稿日時: 2004-07-02 18:56
井上です。
1. に関する正攻法は、OU を 1 個作って、それの管理をユーザーに委任する方法でしょう。これなら、ユーザー側の権限はいじらずに済みます。 2. は、サーバの構成にもよりますが、ちょっと難しい場合があるかもしれませんね。件のユーザーにメンバー サーバを 1 台割り当てて、ローカルで admin 権限を持たせれば解決できそうですが。 _________________ www.kojii.net |
|
投稿日時: 2004-07-05 10:55
井上様、ご回答ありがとうございます。
やはり2については行うのが難しいのですね。 たいへん申し訳ありませんが、井上様がおっしゃられている 「件のユーザーにメンバーサーバを1台割り当てて、ローカルで admin 権限を持たせれば」というのはメンバーサーバとして もう1台サーバを構築して、構築したサーバをファイルサーバと することにより、ローカルでAdmin権限があれば可能であるという 意味でしょうか? 小規模環境のため、別サーバを構築することはほぼ無理であり、 現状、以下の機能を一台のサーバで担ってます。 ・ドメインコントローラ ・DNS ・DHCP ・Active Directory ・ファイルサーバ サーバはこの1台のみでクライアントはに20〜30台でサーバ、 クライアント共同一セグメントです。このような環境下で別サーバを 構築せず、2を実現することは不可能なのでしょうか? お忙しいとは存じますが、宜しくお願い致します。 |
|
投稿日時: 2004-07-05 12:01
OSの仕様ではメンバーサーバーではPowerusers以上
ドメインコントローラではServer Operetors以上の権限がなければフォルダの共有設定は できません。(おっしゃっているとおりですが) なので、Domain usersをPowerusersに入れるか、 該当ユーザーをServer Operatorsに属させるなどの方法をとるしかないと思います。 あるいは、あらかじめ、管理者がルートフォルダを作成しEveryoneフルコントロールで 共有アクセス権を設定しておき、サブフォルダの作成、削除、NTFSアクセス権の変更 のみusersに委任するという方法なら、usersにリソースの管理を相当任せることが可能に なると思います。 共有のアクセス権変更はたとえEveryoneフルコントロールになっていたとしても、 usesのGUIからは行えなかったように記憶してますが・・・・ (違ってたらごめんなさい) あるいは別のアプローチとして、管理者権限をあたえておいて、グループポリシーを 最大限駆使して、実行できるタスクにできうる限りの制限を加えるというほうほうも 考えられます。 |
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。