- PR -

コンピュータアカウントの管理について

1
投稿者投稿内容
未記入
会議室デビュー日: 2007/10/17
投稿数: 19
投稿日時: 2007-10-24 00:56
いつも勉強させていただいております。
Active Directory環境におけるコンピュータアカウントの管理について
分からないことがあり、投稿させていただきました。

質問の趣旨ですが、現在登録されているそれぞれのOUの管理者へ
ユーザアカウントではなく、コンピュータアカウントの管理を
委任したいと考えています。

そこで、「制御の委任」での実現方法を考えているのですが、
Active Directoryのユーザとコンピュータ画面から、
ドメインを選択してウィザードに従った場合は、委任するタスク画面で
「コンピュータのドメインへの参加」というメニューが表示されますが、
OU単位で同じ操作をした場合は、上記メニューは現れません。

ドメインを選択して上記操作を行なった場合は、OUに関係なく、
ドメイン単位でコンピュータアカウントを作成できてしまう為、
当然、そのドメイン内に登録されたコンピュータアカウントであれば
OUに関係なく削除も出来てしまいます。
PCアカウントの登録〜削除をOU内に制限する方法はないものでしょうか?
Mattun
ぬし
会議室デビュー日: 2004/08/10
投稿数: 1391
投稿日時: 2007-10-24 09:54
引用:

ドメインを選択してウィザードに従った場合は、委任するタスク画面で
「コンピュータのドメインへの参加」というメニューが表示されますが、
OU単位で同じ操作をした場合は、上記メニューは現れません。


共通のタスク一覧では表示されませんが、
カスタムタスクを選択すれば、同等のことはできるでしょう。
対象が「コンピュータオブジェクト」、
委任するのは「書き込み」になるのかな(要確認)。

制御の委任ウィザードは、ADオブジェクトに関するアクセス権の
設定のためのインタフェイスにすぎないので、
なぜドメインとOUで表示される共通タスクが異なるのかは置いといて、
カスタムタスクを使えば同等の権限付与もできるし、
対象ドメイン/OUのプロパティからセキュリティ設定を確認すれば
実際に付与されてるアクセス権も確認できます。
(管理ツールで[表示]→[拡張機能]にチェックいれないとセキュリティタブは表示されません)
未記入
会議室デビュー日: 2007/10/17
投稿数: 19
投稿日時: 2007-10-24 23:27
Mattunさん、

ご回答ありがとうございます。
いただいたアドバイスを元に、カスタムタスクを選択して試してみましたが、
結論から申し上げると、委任ウィザードを使用した場合は、目的の動作には至りませんでした。
ここでいう目的とは、制御の委任ウィザードを使用して、OU単位での
ユーザアカウントの作成・削除を委任したときと同じように、
コンピュータアカウントにスポットを当てたアクセス許可エントリの追加、
および制御の委任後に特定管理者グループによるPCアカウントの追加が出来ませんでした。

最終的には、アクセス許可のエントリ画面から、手動で以下の手順で行なうことにより、
一応目的どおりの動きをするようにはなりました。

@ 適用先 :このオブジェクトとすべての子オブジェクト
A アクセス許可 :コンピュータオブジェクトの作成/削除の二つにチェック

但し、一つ気になるのが、委任ウィザードでユーザオブジェクトの作成・削除権限を
委任したときとは、下記の「許可A」が自動で作成されますが、
手動でPCオブジェクトを追加した場合、下記の「許可A」は作成されないことが
後々、どのような形での影響に繋がるのかがいまいち把握できない事です。
このままの状態でも、PCアカウントの作成や削除などは問題なくできますが、
一応、「許可A」も手動で追加した方がいいのでしょうか?

→委任ウィザードで、ユーザオブジェクト作成・削除権限を追加した場合
【許可@】
 ・アクセス許可 :ユーザオブジェクトの作成/削除
 ・適用先    :このオブジェクトとすべての子オブジェクト
【許可A】
 ・アクセス許可 :フルコントロール
 ・適用先    :ユーザーオブジェクト

→手動で、コンピュータオブジェクト作成・削除権限を追加した場合
【許可@】
 ・アクセス許可 :コンピュータオブジェクトの作成/削除
 ・適用先    :このオブジェクトとすべての子オブジェクト
【許可A】
 なし

話がややこしくなって申し訳ありませんが、
もしおわかりのようでしたら、ご教授くださいませ。

1

スキルアップ/キャリアアップ(JOB@IT)