- PR -

ActiveDirectoryでローカルPCの権限設定について

1|2 次のページへ»
投稿者投稿内容
QDR
会議室デビュー日: 2007/03/13
投稿数: 5
投稿日時: 2007-03-13 20:53
こんにちは。

現在Windows2003Server STD(SP1)の導入設定をしています。
ActiveDirectoryを導入しグループとユーザの権限を設定しようとしています。
行いたいことは、ドメインではDomain Usersの権限とし、ローカルPCではドライバやソフトのインストールのためにAdministrators権限を与えたいと思っています。
グループポリシーエディタでAdministratorsの権限を与えてもローカルPCではUsers権限のままでした。
Domain AdminsにするとローカルPCでAdministrators権限になりますが、当然のようにドメインでもAdministrators権限になってしまいます。

調べてみましたが設定方法がわからず、お手上げ状態です。
設定方法などについてアドバイスをお願いしたいと思います。
よろしくお願いします。

QDR
会議室デビュー日: 2007/03/13
投稿数: 5
投稿日時: 2007-03-13 20:57
QDRです。
先ほどの書き込みに間違いがありました。
グループポリシーエディタではなく”ActiveDirectoryユーザとコンピュータ”の設定でした。
失礼しました。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2007-03-13 22:26
こんばんわ.
引用:

QDRさんの書き込み (2007-03-13 20:53) より:

ActiveDirectoryを導入しグループとユーザの権限を設定しようとしています。

つまりその Windows Server 2003 は domain controller ということでしょうか?
引用:

QDRさんの書き込み (2007-03-13 20:57) より:
QDRです。

グループポリシーエディタではなく”ActiveDirectoryユーザとコンピュータ”の設定でした。

それはどこで操作したのでしょうか?
domain controller 上ですか?local pc 上ですか?
QDR
会議室デビュー日: 2007/03/13
投稿数: 5
投稿日時: 2007-03-13 23:11
こんばんは。
早速ありがとうございます。

引用:

つまりその Windows Server 2003 は domain controller ということでしょうか?

はい、そうです。domain controllerにしています。

引用:

それはどこで操作したのでしょうか?
domain controller 上ですか?local pc 上ですか?

domain controllerで設定しました。
あと、domain controllerではDomain Usersにし、ローカルPCにもユーザ登録してAdministrator権限を与えてから、ドメインにログオンしてみましたが、同様でした。

ちゃっぴ
ぬし
会議室デビュー日: 2004/12/10
投稿数: 873
投稿日時: 2007-03-13 23:26
ポリシーの結果セット

でみた結果は?

設定した policy が適用される場所が違っている可能性が大かと
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2007-03-14 00:56
引用:

QDRさんの書き込み (2007-03-13 23:11) より:
引用:

それはどこで操作したのでしょうか?
domain controller 上ですか?local pc 上ですか?

domain controllerで設定しました。
あと、domain controllerではDomain Usersにし、ローカルPCにもユーザ登録してAdministrator権限を与えてから、ドメインにログオンしてみましたが、同様でした。

つまり
・Active Directory に user account を追加した.
・Active Directory の client 側にも local で user account を追加した.
のですよね?
前者は domain の user account ですが,
後者は domain の user account ではありません.
つまり後者は local で logon するので無ければここでは何の意味もありません.

実際に必要なのは
・Active Directory に user account を追加した.
・その user account(あるいはその user account が含まれる user group)を
local 側の Administrators という user group に追加する.
ことです.
local 側の user account の追加は必要ありません.

Active Directory に user account を追加したあと,
local 側のコントロールパネルの「ユーザアカウント」で設定します.
おそらく「詳細設定」タブ->「詳細設定」ボタンで開く
「ローカルユーザーとグループ」で設定するのが分かり易いと思います.
「グループ」に Administrators という local の user group があります.
Active Directory に参加している WindowsXP であれば,
その group に Active Directory の user/user group を追加することができます.
その際,特定の user account だけを追加することもできますし,
DomainUsers を追加することも可能です.

そうすることで,Active Directory の DomainUsers に所属する user は
local の Administrators に所属することになります.
ですので,その後は Active Directory の DomainUsers に
user account を追加することで,自動的に local でだけは
Administrator 権限を常に持つことができるようになります.

ただし,これにより local 側は自由に設定変更ができてしまうため,
管理上は望ましい状況ではなくなると思います.
※例えば Active Directory から勝手に外してしまうとか.
引用:

設定した policy が適用される場所が違っている可能性が大かと

policy のお話ではないようです.

以上,ご参考までに.
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2007-03-14 10:09
ポリシーで実現するとしたら、「制限されたグループ」が該当しますが、
各端末で使う各DomainUsersを、
各ドメインメンバ端末のAdministratorsグループに入れる、
という状態になる=DC以外で管理者権限を持つ状態になるので、
実質使えないですね。

個々の端末の、個々のローカルユーザ管理の、
Administratorsグループへの追加で実現するしかないでしょう。
_________________
Mattun
Microsoft MVP for Directory Services
(Oct 2006-Sep 2007)
Sunvisor
常連さん
会議室デビュー日: 2004/08/24
投稿数: 20
投稿日時: 2007-03-14 11:51
>行いたいことは、ドメインではDomain Usersの権限とし、ローカルPCではドライバやソ
>フトのインストールのためにAdministrators権限を与えたいと思っています。

ローカルPCの方で,次の作業をするとお望みの環境になります。
コンピュータの管理 > ローカルユーザーとグループ > グループ
にある,Adiministratorsをダブルクリック,追加ボタンをクリック
<ドメイン名>\Domain Users
を追加する。
これで,Domain UsersがローカルではAdministrator権限を持つようになります。

こんな解決方法ではダメですか?
1|2 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)