- PR -

特定のユーザーにたいし特定のサーバーだけにフル権限を与えるには?

1|2 次のページへ»
投稿者投稿内容
きのこ
ぬし
会議室デビュー日: 2004/09/01
投稿数: 256
投稿日時: 2005-08-26 09:06
こんにちわ、前任者が放置逃亡したシステムを管理し始めております
LANのなかにWINDOWS2000で1つのドメインが構築されています
10程度の営業者が遠隔地にありありそれそれ一応IT管理者がいます
本部にFSMOを持つアクティブディレクトリがあり各営業所は、
基本的にDNSなどの設定をコピーするようになっています。
ところで最近管理業務が大変のでいくつかの支店でそこ支店だけの
アクティブディレクトリサーバーに振る権限をあたえたいとおもっておりますが
どのようにしたらようのでしょうか?
はずかしながらあまりアクティブディレクトリ詳しくなく、
ただのサーバーのようにLOCALでADMINをつくろうとしても
そういったことができないようです。
本部や全営業所のアクティブディレクトリにアクセスできる権限をあたえずに
その営業所だけのサーバーにフルアクセスできるようにユーザーを設定するには
どうしたらいいのでしょうか?
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-08-26 09:36
おはようございます.

こんな感じで
http://www.atmarkit.co.jp/fnetwork/rensai/ad05/ad01.html
権限を委譲すればドウでしょう?
或いは各営業所ごとに user group を設けて,
その group をそれぞれの営業所の server の
local の Administrators group へ参加させるとか.

Domain Controller では後者の方法は使え無かったと思います.

以上,ご参考までに.
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2005-08-26 10:43
引用:

ところで最近管理業務が大変のでいくつかの支店でそこ支店だけの
アクティブディレクトリサーバーに振る権限をあたえたいとおもっておりますが
どのようにしたらようのでしょうか?

どこまでの権限を与えたいんでしょう?

対象がサーバのオペレーション作業だけなのか、
ActiveDirectory関連のオペレーション作業なのか、
それらが全般的になのか、限定された範囲なのか、
それを明確にしないと、権限委譲の範囲が決められません。

どうせ管理体制がいいかげんな状態だったら、DomainAdminsグループに入れてしまって
管理に巻き込んでしまうのも一つの手
きのこ
ぬし
会議室デビュー日: 2004/09/01
投稿数: 256
投稿日時: 2005-08-26 12:22
KAZさん、Mattunさん
またまたお世話になってしまい申し訳ありません
http://www.atmarkit.co.jp/fnetwork/rensai/ad05/ad01.html
はとても明快でした

ただし、その営業所にあるアクティブDIRECTORYサーバーをリブートしたり
WINDOWSのUPDATEもさせたり必要に応じて、アプリをインストールも
させたりと、ほとんどそのサーバーのすべての管理権限を与えたいと思ってます。
もちろんドメインに参加しているだけのただのサーバーでなく
アクティブディレクトリなので
コンピュータのLOCALにいれるということができません

Active Directory ユーザーとコンピュータ
ですとその営業所のOUはみつかったのですが、実際のアクティブディレクトリサーバー
そのもののOBJECTがみつかりませんでした
USERの管理とかはできるようになったとおもうのですが
サーバー管理業務だとActive Directory サイトとサービス
もいじる必要があるのでしょうか?一応、委任してしまいました
(OUではなくCN OBJECTでしたけど)

確かにMUTTUNさんのいわれるようにいっそのことDOMAIN ADMINを
あげてしまいたいのですが、管理者の所属がITではなく
その地方の部署に属し、他地域に対して何の責任もないので完全に
ドメインアドミンをあたえることには躊躇してます
なので今回、ローカルのものにしぼって
完全にほぼ100% 責任+権限をあたえようとしております。

いろいろありがとうございました
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-08-26 20:45
こんばんわ.
引用:

きのこさんの書き込み (2005-08-26 12:22) より:

ただし、その営業所にあるアクティブDIRECTORYサーバーをリブートしたり
WINDOWSのUPDATEもさせたり必要に応じて、アプリをインストールも
させたりと、ほとんどそのサーバーのすべての管理権限を与えたいと思ってます。
もちろんドメインに参加しているだけのただのサーバーでなく
アクティブディレクトリなので
コンピュータのLOCALにいれるということができません

reboot するだけなら,batch で出来るようにしておいて,
実行する権限だけ与えておけば local logon しなくても良いと思います.
update は自動化する仕組みがありますけど,それではダメですか?
application は自動化できませんけど,
導入がそれほど頻繁にあるとは思えませんので,
考慮する必要ないように思われます.
引用:

Active Directory ユーザーとコンピュータ
ですとその営業所のOUはみつかったのですが、実際のアクティブディレクトリサーバー
そのもののOBJECTがみつかりませんでした

DomainControllers という OU があったのではないかと記憶しています.
きのこ
ぬし
会議室デビュー日: 2004/09/01
投稿数: 256
投稿日時: 2005-08-27 00:55
kazさん

いろいろ何度のありがとうございます
確かにありました。記事のように委任するオプションはありませんでしたが
セキュリティでそのユーザーにそのドメインコントローラーを
管理する権限をあたえることが可能でした。
ただ、WINDOWS UPDATEなどやSHUTDOWNなどは検討してみます
ありがとうございました。
きのこ
ぬし
会議室デビュー日: 2004/09/01
投稿数: 256
投稿日時: 2005-08-27 14:08
たびたびすみません
やはり、ログインができないようです
管理者ツールでパスワードの変更とかはできるようなのですが、サーバーに
ログインができないようでした
その営業所のドメインコントローラーにセキュリティーでフルアクセスをいれてやってもこのユーザーはローカルセキュリティーポリシーの設定によってログインができないと言ったメッセージがでてきてはいれないようです。
そのドメインコントローラーのローカルセキュリティーポリシーのユーザー権限のところでそのユーザーをいれてやってもだめのようです
(ドメインのグループポリシーがローカルを上書きするからでしょうか?)

やはりその営業所サイト独自のポリシーをいれてやらないとだめなのでしょうか?
なにかご存知でしたら教えてください
くだらない質問ばかりですみません
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2005-08-28 15:29
こんにちわ.
引用:

きのこさんの書き込み (2005-08-27 14:08) より:

その営業所のドメインコントローラーにセキュリティーでフルアクセスをいれてやってもこのユーザーはローカルセキュリティーポリシーの設定によってログインができないと言ったメッセージがでてきてはいれないようです。

これが何を指すかよくわかりませんが,
引用:

そのドメインコントローラーのローカルセキュリティーポリシーのユーザー権限のところでそのユーザーをいれてやってもだめのようです
(ドメインのグループポリシーがローカルを上書きするからでしょうか?)

「対話的 logon を許可する」といった類の policy があり,
そこには default で Administrators しか許可されていなかったと記憶しています.
そのお話ですか?
1|2 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)