- PR -

ユーザとグループの構成について

1
投稿者投稿内容
未記入
会議室デビュー日: 2007/10/17
投稿数: 19
投稿日時: 2007-10-17 23:00
いつも勉強させていただいております。
ユーザとグループの構成について分からないことがあり、
投稿させていただきました。

OSは「Windows 2000 Server」を使用しているのですが、
「Power Users」と「Remort Desktop Users」というグループは
スタンドアロンの時には存在していますが、ドメインコントローラ環境では、
「Builtin」や「Users」のどちらにも存在しなくなってしまいます。

もし「Power Users」や「Remort Desktop Users」それぞれを
使用していたアカウントを、ドメインコントローラでも同じ(ような)
役割として使用したい場合は、どのグループに所属させればよろしいのでしょうか?

もしかすると、この質問自体に何か問題があるのかもしれませんが、
「Power Users」や「Remort Desktop Users」に変わる
ドメイン環境でのユーザグループが知りたいのです。

どなたか、お分かりのかたいらっしゃいましたら、ご教授くださいませ。

Kozoo
ベテラン
会議室デビュー日: 2005/11/10
投稿数: 52
お住まい・勤務地: コンクリートジャングル東京
投稿日時: 2007-10-18 15:52
おかしな点がありましたら訂正願います。

引用:

voidさんの書き込み (2007-10-17 23:00) より:
OSは「Windows 2000 Server」を使用しているのですが、
「Power Users」と「Remort Desktop Users」というグループは
スタンドアロンの時には存在していますが、ドメインコントローラ環境では、
「Builtin」や「Users」のどちらにも存在しなくなってしまいます。
もし「Power Users」や「Remort Desktop Users」それぞれを
使用していたアカウントを、ドメインコントローラでも同じ(ような)
役割として使用したい場合は、どのグループに所属させればよろしいのでしょうか?

Power UsersやRemote Desktop Users等のグループはLocal PCに対する権限となります。
BuiltinやUsers配下等ののグループはDomainに対する権限となります。
また、AD環境においてDomain Controller(DC)に昇格したServerは、
Localに対して変更を行う事ができなくなります。(もしかしたら出来るかも)
ですので、DCに昇格したServerではPower UsersやRemote Desktop Usersは表示されなくなります。
よって、ご希望の運用はできないのではないかと思います。
#分かり難い説明になってしまい申し訳ないです・・・
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2007-10-18 16:18
引用:

もしかすると、この質問自体に何か問題があるのかもしれませんが、
「Power Users」や「Remort Desktop Users」に変わる
ドメイン環境でのユーザグループが知りたいのです。

ありません。

Power UsersやRemote Desktop Usersなどは、ビルドインのローカルグループです。
スタンドアロン、ドメインメンバなマシンならローカルグループは存在しますが、
ドメインコントローラにはローカルグループが存在しません。
管理できるユーザ・グループのスコープに、ローカルという概念すらないです。
(あえて言うなら、ドメインコントローラから見てのローカル=ドメイン です)
なので、このドメインコントローラだけに強力な権限を持ったユーザ、
などというのは存在しえません。

http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=41708&forum=6&4
も似たような質問ですが、ドメインコントローラを単一サーバとして
考えてオペレーションしようとすると、どうしても矛盾がおきますね。

ローカルグループのPowerUserは、ローカルにて管理者に準じる権限を持つグループですが、
それに相当するのは、Server OperatorsやAccount Operatorsでしょうかね。
より用途により細分化されてます。
未記入
会議室デビュー日: 2007/10/17
投稿数: 19
投稿日時: 2007-10-19 00:10
Kozooさん、Mattunさん、

丁寧な情報をいただき、ありがとうございます。
何となく自分でもそうではないのかなと思っていましたが、
やはりDCになった場合は、概念そのものから違うということですね。

それでは、切り口を変えて、ログインの対象を”DC”ではなく、
”メンバサーバ”にした場合について質問させてください。

ドメインに登録されている特定のユーザアカウントを
同じドメインに所属するメンバサーバのローカルグループ
「Power Users」に所属させた場合、
そのメンバサーバに対してのみ「Power Users」グループの
権限を持った状態でドメインにログインすることは出来ますでしょうか?
私は可能ではないかと思っているのですが、今一自信が持てません。

考え方としては、ドメインに登録されている制限ユーザでありながら、
特定のメンバサーバのローカルに対してのみ、ある一定権限を
持ちながら作業がしたい場合を想定しています。

度々の質問で申し訳ないのですが、どうかご存知でしたら
再度ご回答いただければ幸いです。

Kozoo
ベテラン
会議室デビュー日: 2005/11/10
投稿数: 52
お住まい・勤務地: コンクリートジャングル東京
投稿日時: 2007-10-19 18:19
引用:

voidさんの書き込み (2007-10-19 00:10) より:
ドメインに登録されている特定のユーザアカウントを
同じドメインに所属するメンバサーバのローカルグループ
「Power Users」に所属させた場合、
そのメンバサーバに対してのみ「Power Users」グループの
権限を持った状態でドメインにログインすることは出来ますでしょうか?

可能です。
EX.)
 DomainName = Domain
 MemberServerName = Server
 DomainUserAccount= User

Serverにて[コンピュータの管理]→[ローカルユーザーとグループ]
[PowerUsers]グループのプロパティから[追加]、[場所]をDomainとし対象のUserを[追加]する。
ログオフし再度ログインを実行。
 ログイン名:User
 パスワード:****
 ログオン先:Domain
結果、Domainに対する権限はUserのままで、Serverに対する権限はPowerUsersとなります。
上記で如何でしょうか。
未記入
会議室デビュー日: 2007/10/17
投稿数: 19
投稿日時: 2007-10-20 00:42
Kozooさん

とてもわかり易い説明、ありがとうござます。
お陰でスッキリいたしました。

初心者レベルの質問にお付き合いいただき
本当に有り難うございました。

また、このサイトにはいろいろとお世話になることと
思いますので、ご縁がありましたらまたよろしくお願いいたします。


1

スキルアップ/キャリアアップ(JOB@IT)