- PR -

簡単にADユーザをクライアントPCの「Power Users」 にするには?

1
投稿者投稿内容
jiji
会議室デビュー日: 2006/05/18
投稿数: 4
投稿日時: 2006-05-30 17:55
いつも参考にさせていただいております。

さて現在、NTドメインからActiveDirectory(windows2000server)
への移行作業を行っています。
特定のAD「ユーザ」または「セキュリティグループ」を
クライアントPCの「Power Users」グループに加えたいのですが、
各現場が点在しているので、簡単に一括して対象となる
クライアントPCにユーザ登録する方法はあるのでしょうか?
(クライアントPCは全てwindows2000です)

当該ADユーザが「PowerUsers」の権限を必要とする理由は、
自社開発したVBプログラムの一部がActiveXを利用しており、
システムのレジストリ変更権限がいるようなのです。
(ADのポリシーでレジストリの変更権限を与える?というような
 ものがないか探してみましたが、わかりませんでした。)


どうかよろしくお願いいたします。
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2006-05-30 19:02
グループポリシーの「制限されたグループ」で実現可能です。
http://www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/ja-jp/611.asp

ただし、注意書きにあるような注意事項があります。
「各端末で個別に設定してたグループメンバ設定が上書きされます」

また、この端末にはこのドメインユーザをPowerUsersに、というのは
この機能では実現できません。
その辺は結局端末個別に設定が必要になり、
その作業を軽減するとしたら、端末とユーザの組み合わせ一覧データと
WSHなどのスクリプトとの組み合わせで作業負荷軽減、
みたいな感じでやるしかないでしょう。
_________________
Mattun
Microsoft MVP for Directory Services
(Oct 2006-Sep 2007)
ちゃっぴ
ぬし
会議室デビュー日: 2004/12/10
投稿数: 873
投稿日時: 2006-05-31 03:44
引用:
(ADのポリシーでレジストリの変更権限を与える?というような
 ものがないか探してみましたが、わかりませんでした。)


標準であるでしょう?

[コンピュータの構成] - [Windows の設定] - [セキュリティの設定] - [レジストリ]


[ メッセージ編集済み 編集者: ちゃっぴ 編集日時 2006-05-31 03:45 ]
jiji
会議室デビュー日: 2006/05/18
投稿数: 4
投稿日時: 2006-06-01 01:55
Mattun様
ちゃっぴ様

返信が遅くなりすみません。
なにせ、まだADを触り始めたばかりで、ご回答いただきました
内容を試したり、参考書を見たりしているうちに遅くなってしまいました。

Mattun様
引用:
グループポリシーの「制限されたグループ」で実現可能です。

ありがとうございます。参考リンクや諸注意もお教えいただき、
大変勉強になりました。

ちゃっぴ様
引用:
標準であるでしょう?

ありがとうございます。ありました。「制限されたグループ」もそうなのですが、
グループポリシーに「説明」がないものを良く調べもせずに、
「わからない=関係ない」だろうとしてしまってました。
(「おお、そうか」とうれしいと同時に、はずかしい限りです。
 もっとグループポリシー設定をちゃんとわかりたいと、尚更ながら思いました)

さて、問題の解決ですが、時間も押してきてますので、
Mattun様が書かれているように
引用:
その辺は結局端末個別に設定が必要になり、
その作業を軽減するとしたら、端末とユーザの組み合わせ一覧データと
WSHなどのスクリプトとの組み合わせで作業負荷軽減、
みたいな感じでやるしかないでしょう。

を参考にまずは「現状の端末状態」を移行する形で行こうと思っています。

結局、現場端末を調べていくと、独自のVBプログラムのほかにも、
カード読み取り機の制御プログラム、市販の印刷ソフトなどが
稼動しており、「Power Users」、「Administrators」権限を
必要とするものがでてきました。(導入した担当者によると、
開発元にも尋ねた結果、権限を与えないとうまく動作しませんでした)
また、レジストリの変更権限を与える方法も試したいのですが、
ちゃんと理解、調査をした上で、系統だった端末利用の「セキュリティ
ポリシー」をまとめ、設定を行うには、まだまだ難しそうに思えるので、
今回は見送り、勉強してから挑戦しようと思います。

ご回答いただき、ありがとうございました。これからもよろしくお願いします。
ちゃっぴ
ぬし
会議室デビュー日: 2004/12/10
投稿数: 873
投稿日時: 2006-06-01 02:14
引用:

jijiさんの書き込み (2006-06-01 01:55) より:

引用:
その辺は結局端末個別に設定が必要になり、
その作業を軽減するとしたら、端末とユーザの組み合わせ一覧データと
WSHなどのスクリプトとの組み合わせで作業負荷軽減、
みたいな感じでやるしかないでしょう。

を参考にまずは「現状の端末状態」を移行する形で行こうと思っています。

本当に?結構手間かかるとおもいますよ。
それから、今後の保守が大変ですねぇ・・・。
この際、policy だけでも策定しておいたほうがいいと思いますがね。
# ここでいっている policy とは group policy ではなく、application 設計とか配置の policy です。
# あと、一般 user にどの level の権限を付与するのか決めておくということも。

引用:

結局、現場端末を調べていくと、独自のVBプログラムのほかにも、
カード読み取り機の制御プログラム、市販の印刷ソフトなどが
稼動しており、「Power Users」、「Administrators」権限を
必要とするものがでてきました。(導入した担当者によると、
開発元にも尋ねた結果、権限を与えないとうまく動作しませんでした)


それ、いってしまえばその application の質が悪いというのと同義なんですがね。
結構いっぱいありますねぇ・・・必要ない権限を求めるろくでもない application

とりあえず、動かないと話にならない場合も多いこともまた確かなので、私は必要な場所をある程度大雑把に割り出し、それに対して ACL を編集するという手段をとっています。

"Power Users" はともかくとして、"Administrators" の member にするのは問題が大きいですから。

なお、調査には、Regmon, Filemon 等の utility が役に立つでしょう。

[ メッセージ編集済み 編集者: ちゃっぴ 編集日時 2006-06-01 02:16 ]
まるちねす
ぬし
会議室デビュー日: 2004/04/28
投稿数: 302
投稿日時: 2006-06-04 13:28
その問題のアプリケーションが参照・変更している
ファイル、レジストリキーを特定できれば
Power Users や Administrators に属させる必要はないでしょう。
解析を行えばある程度は可能です。
ただ、P○N○SONIC製のハードウェア付属ソフトの中には、もろにユーザーが
Administratorsに属しているかどうか判定してるものもありました。

レジストリの解析にはREGMONなどのツールを
ファイルの解析にはタイムスタンプ(変更月日)で検索するなどする方法が
有効だと思います。
普通、ソフトウェアの共通情報はHKLMに書き込むものですが、HKCUに書き込むもの
もあります。この場合は管理者に属するというだけでなく、インストールを行った
ユーザーでしか動作しません。ってこともあります。
そういった場合はキーをエクスポートして、実行するユーザーのキーに結合したり
してました。
1

スキルアップ/キャリアアップ(JOB@IT)