- - PR -
ドメインでの制限について
1
| 投稿者 | 投稿内容 | ||||
|---|---|---|---|---|---|
|
投稿日時: 2007-01-18 16:09
この度、ActiveDirectoryを新規に導入するにあたり、以下の事をやりたいのでご教授下さい。
ユーザーはローカルAdminの権限を所有しローカル端末は制限無く操作出来るようにし、 ドメインの設定には一切変更出来ないよう設定を実施しました。 (ローカルAdminに"Domain Users"を加えた形です) この状態でユーザーが勝手にドメインからワークグループに変更出来ないように したいのですが、グループポリシーを設定するなどして何か良い方法は無いものでしょうか? (最悪、ドメインを抜けたら管理者がすぐわかる方法等でもOK!) ユーザーが数千名の為、目視確認は厳しいです。。。 グループポリシーを使用して"ローカルユーザーとグループ"を表示させないように 設定したのでドメインを抜けてもローカルのアカウントが作成出来ないので ローカルにログインする事を出来なくはしているのですが、勝手にドメインを 抜けようとするユーザーは出てくるかと思うので、今の内に手を打っておきたいのです。 よろしくお願いします。 [ メッセージ編集済み 編集者: seiichi51 編集日時 2007-01-18 16:36 ] | ||||
|
投稿日時: 2007-01-19 14:24
ドメインの管理者のパスを変更して、
パスを教えなければドメインから抜けるときの 認証ではじかれたと思います。 | ||||
|
投稿日時: 2007-01-19 15:02
パスとはパスワードのことだと思いますが
password と path がまぎらわしいので使わないほうがいいですよ。 ドメインの管理者パスワードが分からなくても、 キャッシュログオンが有効だと、ケーブル抜いた状態でログオンして、 ワークグループへ移行ができてしまうのではないでしょうか。 http://www.atmarkit.co.jp/fwin2k/win2ktips/786netuser/netuser.html ローカルユーザーはコマンドで作成できてしまうのでは? | ||||
|
投稿日時: 2007-01-19 16:46
こんにちわ.
この時点で「勝手に操作させない」という考え方と矛盾していると思います. 安易に「管理者権限を与える」という前提を持たずに実現する方法を 考えた方がよろしいのでは? | ||||
|
投稿日時: 2007-01-19 16:47
こんにちわ.
この時点で「勝手に操作させない」という考え方と矛盾していると思います. 安易に「管理者権限を与える」という前提を持たずに実現する方法を 考えた方がよろしいのでは? | ||||
|
投稿日時: 2007-01-20 09:01
ソフトウェアの管理などをエンドユーザーに行わせたいというケースは
組織によってはあるでしょう。 せめて、 Administrators ではなく、 Power Users に属させるべきでしょう。 これなら、ドメインからの離脱はできないと思います。 | ||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。