- PR -

ActiveDirectoryでユーザにadmin権限を与える方法

1|2 次のページへ»
投稿者投稿内容
tasap
会議室デビュー日: 2005/06/01
投稿数: 8
投稿日時: 2005-06-01 11:21
初めて利用させて頂きます、宜しくお願い致します。

●質問事項
 Windows Server 2003のActiveDirectoryを利用したドメイン環境にて、各ユー
ザ端末にAdministrator権限を与える方法

●状況
1.Windows Server 2003 にてActiveDirectoryを利用し、ドメインを構築した。
2.ユーザアカウント(複数)を新規に登録した。(グループアカウントは作成していない)
3.ユーザアカウントのプロパティーで「Administrator」「Domain Admins」の権
限を設定した。
4.各ユーザPC(WinXP・Win2K)より、ドメイン認証を実施した。
5.各ユーザPCでは権限が「ユーザ」になっており、PGのインストール、ネットワー
ク設定変更・プリンタの設定変更ができない状態

●実現させたいこと
 各ユーザ端末にAdministrator権限をドメイン認証後に与えたい
Atwight
常連さん
会議室デビュー日: 2003/11/20
投稿数: 46
お住まい・勤務地: 神奈川県在住
投稿日時: 2005-06-01 11:43
各ユーザー端末のローカルにAdministratorsというグループがあるので、そこにドメインのユーザーアカウントを追加しましょう。
各ユーザー端末がユーザー固定でないのなら、Domain Usersとかでも良いと思います。

しかし、ドメインのユーザーアカウントにドメインのAdministratorsとかDomain Adminsとかを与える事はとっても危険ですよ。ActiveDirectoryに登録されているユーザー情報と、ローカルに登録されているユーザー情報が混乱しているように見受けられます。
tasap
会議室デビュー日: 2005/06/01
投稿数: 8
投稿日時: 2005-06-06 17:55
お返事ありがとうございます。

ユーザを作成し、Domain Adminsの権限を与えることにします。
Atwight
常連さん
会議室デビュー日: 2003/11/20
投稿数: 46
お住まい・勤務地: 神奈川県在住
投稿日時: 2005-06-06 18:25
>Domain Adminsの権限を与えることにします。

Domain Adminsはやめた方が良いかと思いますが・・・
zousan
大ベテラン
会議室デビュー日: 2004/11/09
投稿数: 129
投稿日時: 2005-06-06 23:00
>Domain Adminsはやめた方が良いかと思いますが・・・

そうですよねー、ドメインコントローラの管理者権限までみんなに与えるってのは。。。こわっ!

私ならグループポリシーを使って、ローカルadministratorsのメンバシップを以下とします。
・administrator
・Domain Admins
・Domain Users

まぁいつもは、PowerUsersにDomainUsers追加なんですけど。電源管理とファイル共有だけ許可する目的で。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-06-06 23:16
こんばんわ.
引用:

tasapさんの書き込み (2005-06-01 11:21) より:

5.各ユーザPCでは権限が「ユーザ」になっており、PGのインストール、ネットワー
ク設定変更・プリンタの設定変更ができない状態

個人的には,application の install を end user にやりたい放題させること自体,
「怖い」と思ったりしています.
なので,対応しているものだけは「割り当て」機能で配って,
そうでないものは remote desktop でも使って
導入してあげたほうが良いのではないかと.
printer の導入って power user では出来ないのでしたっけ?

...かように感じる次第です.
Atwight
常連さん
会議室デビュー日: 2003/11/20
投稿数: 46
お住まい・勤務地: 神奈川県在住
投稿日時: 2005-06-07 09:49
>printer の導入って power user では出来ないのでしたっけ?

Power Usersグループに登録されていればローカルプリンタの作成や管理、削除も出来たと思います。

MSのページ内を検索すると参考になりそうな文書がありました。(URLが長い!!)
http://www.microsoft.com/resources/documentation/WindowsServ/2003/datacenter/proddocs/ja-jp/Default.asp?url=/resources/documentation/WindowsServ/2003/datacenter/proddocs/ja-jp/windows_security_default_settings.asp

アプリのインストールもGPOを使用すれば、管理者が制御出来ますので私もそちらの方が良いと思います。そうなるとPower Usersグループが適当だと思います。
tasap
会議室デビュー日: 2005/06/01
投稿数: 8
投稿日時: 2005-06-07 10:00
みなさん、お返事ありがとうございます。

グループアカウントを作成し、power userの権限を与えることにします。
色々とご忠告ありがとうございました。勉強になりました。
1|2 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)