- ベストアンサー
ActiveDirectoryで一般ユーザーにadministrator権限を与えるには
ActiveDirectoryで一般ユーザーにadministrator権限を与えるには、 いくつか方法があると思いますが、どれが一番良いのでしょうか? ・グループポリシーの制限されたグループに、administratorsを追加してその中に一般ユーザーを含める。 ・ActiveDirectoryのユーザーとコンピュータから、一般ユーザーのグループにAdministratorsを追加する。 ・ActiveDirectoryのユーザーとコンピュータから、一般ユーザーのグループにDomain Adminsを追加する。 以上、宜しくお願いします。
- maechu
- お礼率68% (20/29)
- Windows系OS
- 回答数5
- ありがとう数6
- みんなの回答 (5)
- 専門家の回答
質問者が選んだベストアンサー
No2.です。 Domain Adminsはそのアクティブディレクトリに関する制御もできるようになってしまいます。つまりネットワーク構成からドメイン下のユーザ管理、下手したらサーバー構成まで変更できてしまいます。通常サーバー管理者のみ使うものだと私は考えます。 ユーザにどうしても与えるならば、ローカルadminまでとして、更に余計なトラブルを防ぐため、通常使うユーザー名と、管理者権限が必要なときに使うユーザー名を用意し、必要に応じてログオンするユーザー名を切り替える、こんな運用してもらうのがいいのではないかと思います。 ちょっと利用者側は手間かもしれませんが、常時管理者権限が必要ということはないと思いますし、意識もできますから。
その他の回答 (4)
>>ローカルコンピュータのAdministratorsグループに、そのローカルコンピュータを使用し、 >>かつソフトウェアのインストールをするドメインユーザを追加する。 >これは、グループポリシーの制限されたグループに、administratorsを追加してその中にDomain Usersを含めるということですね。 ドメインのポリシーやグループを変更するのではなく、個々のローカルコンピュータの設定を個々のユーザに対して行うということです。 ドメインからするとあくまでも一般ユーザです。 乱暴な言い方をすると、ローカルコンピュータのAdministratorのパスワードをそのコンピュータを使用するユーザに管理させるのと同じことです。 どこまでユーザが信頼できるかです。 中にはとんでもないことをしでかすユーザも居ます。 自宅のネットワークにつなぐためにドメインから抜いちゃった上にAdministratorのパスワードを忘れてくれるとか。 重くなるといってアンチウィルスを止めてくれるとか。 こういうことを考えると、すべてのソフトウェアのインストールは管理者が行わないといけないのですが。
お礼
返信ありがとうございます。 >こういうことを考えると、すべてのソフトウェアのインストールは管理者が行わないといけないのですが。 手間はかかりますが、セキュリティ面を考えてもやはりこれが基本ですね。 色々なアドバイスありがとうございました。
>一般ユーザーにソフトのインストールなどを出来るようにしたいです。 ローカルコンピュータのAdministratorsグループに、そのローカルコンピュータを使用し、かつソフトウェアのインストールをするドメインユーザを追加する。 一般ユーザにDomainの権限を与えるということは、セキュリティがなくなるようなものです。 ANo.2さんの言っていることが正しいと思います。 システム管理者としては、ローカルコンピュータまでは譲れます(厳密には譲るべきではないと思いますが)が、ドメインは守らなくてはなりません。
お礼
返信ありがとうございます。 >ローカルコンピュータのAdministratorsグループに、そのローカルコンピュータを使用し、 >かつソフトウェアのインストールをするドメインユーザを追加する。 これは、グループポリシーの制限されたグループに、administratorsを追加してその中にDomain Usersを含めるということですね。 >ドメインは守らなくてはなりません。 わかりました。運用を見直します。
- borg
- ベストアンサー率56% (42/75)
Domain Adminsにした場合サーバー側のアクセス、制御に対する権利が発生してきませんか? 全ユーザーにadministrator権限を与えるのはあまり一般的ではないと思います。通常は一般ユーザで運用し、インストールの必要があるときのみ一時的に管理者権限のあるユーザーIDを用意する方が安全だと思います。余計なことですが。
お礼
返信ありがとうございます。 >Domain Adminsにした場合サーバー側のアクセス、制御に対する権利が発生してきませんか? よく分からないのですが、これは具体的に言うとどういうことですか? もう少し詳しく教えて頂けませんか? あと話はそれるかもしれませんが、administratorsとDomain Adminsは 何が違うのでしょうか? >全ユーザーにadministrator権限を与えるのはあまり一般的ではないと思います。 確かにそうだとは思うのですが、客先のお偉いさんなど特定のユーザーのみadmin権限を与えてあげたいのが実際の所です。
- naru2005
- ベストアンサー率19% (8/41)
こんばんわ。 一般ユーザのグループにadministratorsやdomain adminsを 追加しても、一般ユーザにadministrators権限は与えられな いのではないですか? あと、どのような使い方をしたいのかにも よるのではと思います。
お礼
返信ありがとうございます。 やりたい事は、一般ユーザーにソフトのインストールなどを出来るようにしたいです。 そのために1、2、3をそれぞれ試した所、どれでも一般ユーザーがソフトのインストールを行うことが出来たので今回質問させて頂きました。 ちなみに、1と2、3では何が違うのでしょうか? 1では出来て2,3では出来ないことがあれば教えて頂きたいのですが。 宜しくお願いします。
関連するQ&A
- ActiveDirectory権限について
いつもお世話になっております。 ADへドメインに参加しているグループは、 基本的に「Domain Users」・「Domain Admins」が 割り振られるものと思っております。 ドメインに参加したユーザが リモートデスクトップ等を利用し、 Active Directoryサーバにローカルログオンするためには、 「Domain Users」では権限が弱すぎることからログオンできないため、 「Domain Admins」権限が必要になります。 しかし、ローカルログオンを実施するためだけに 「Domain Admins」権限を用いるのでは余りにも強すぎます。 Domain Adminsより弱い権限で ADサーバへローカルログオンできる権限はありますでしょうか? よろしくお願いします。
- ベストアンサー
- その他([技術者向] コンピューター)
- 一般ユーザにローカルPCの管理者権限を与えたい
よろしくお願いします。 Windows2003Serverにて、ActiveDirectory(単一のドメイン)でサーバー運用しております。 遠隔地にある(ドメイン参加済の)クライアントパソコン約100台に対して、 一時的にではありますが、 各クライアントパソコンのAdministratorsグループに、 そのパソコンを使用するドメインユーザを追加したい と思っています。 この場合、以下の方法が考えられると思います。 方法1) (1)管理ツール→コンピュータの管理から、[別のコンピュータへ接続]で対象となるパソコンに接続。 (2)ローカルユーザーとグループからAdministratorsグループを選択し、 ドメインの特定のユーザーを追加。 ⇒一台ずつ行うのが面倒。 ⇒電源が入っていないと作業が出来ない。 方法2) (1)ドメインサーバーから、新しいグループポリシーを作成。 (2)コンピュータの構成→Windowsの設定→セキュリティの設定→制限されたグループ ここに[Admnistrator]を追加。 ⇒クライアントパソコン上の既存のAdmnistratorグループ所属メンバが全て上書きされる。 各方法は、【⇒】に書いた問題(?)がある為、採用したくありません。 そこで、 グループポリシーの[スタートアップスクリプト]あるいは[ログオンスクリプト] を利用し、自動でユーザー追加作業を行えるのかなと思ったのですが、 スクリプトをドメイン管理者の権限で実行する方法が分かりません。 何か上記を実現する方法はありますでしょうか? ※psexec、runasaといったツールは使えるのでしょうか?? 使える場合、どのような方法になるのでしょうか?ヒントだけでも欲しいです。
- ベストアンサー
- その他(ITシステム運用・管理)
- AD 制限されたグループの設定について
Windows Server2012 にて グループポリシーで「Administrators」と「Domain Admins」に所属させたい と思っております。 下記のサイトを参考にし、 http://rtaki.sakura.ne.jp/infra/?p=915 「制限されたグループ」に「Administrators」と「Domain Admins」を追加しました。 その後、上記グループに追加した内容が反映されておりませんでした。 【操作】 (1)グループポリシーの管理にて、OUにリンクされているポリシーを編集 (2)グループポリシー管理エディタにて、[制限されたグループ]を選択 (3)右クリック→グループの追加をし、「Administrators」を指定する (4)このグループの所属に、「GP_Yakusyoku」を追加する (5)適用ボタンを押下する (6)同様に、「Domain Admins」についても(1)~(5)を実施する ※GP_Yakusyokuは、OUに配置しているメンバーが所属しているグループです。 【確認】 AdministratorsとDomain Adminsのプロパティの[メンバー]タブにて、 「GP_Yakusyoku」グループが入っておりませんでした。 gpupdateやサーバ再起動を行なっても入っておらず、 操作方法に漏れがあるのではと思っております。 反映されていない原因について、教えていただきたく思います。 以上、よろしくお願いいたします。
- 締切済み
- Windows系OS
- Windows ドメインでの管理者ユーザについて
Windows Server 2008 R2でドメイン環境を構成しており、 複数台のメンバーサーバが所属しております。 そのメンバーサーバには、それぞれ個別の業務用アプリケーションが搭載されております。 今度、アクティブディレクトリ(AD)上のAdministrator(ビルドインユーザ)以外にも、 AD上に作業用のためのAdmin権限を持った作業用ユーザを作成することになりました。 そこでご教示頂きたいことがあります。 AD上のAdministrator(ビルドインユーザ)では、 所属グループがAdministrators、Domain Adminsとなっているため、 ドメイン内のどのメンバーサーバでもAdmin権限で作業が出来ることになるかと思いますが、 (1) 他のメンバーサーバではAdmin権限を利用出来ない、メンバーサーバ単位での Admin権限を持った作業用ユーザをアクティブディレクトリ上に作成することは可能でしょうか。 他のメンバーサーバ上で稼動するアプリケーション環境に対して、 その環境をいじくらせないようにするためです。 (所属するグループをAdministratorsのみにしてDomain Adminsグループに所属させない等) やはり、この場合は、そのメンバーサーバ内のローカルユーザ"Administrator"と同等の 権限を持った作業用ユーザを作成することになるのでしょうか? 以上、ご教示のほど、なにとぞ、宜しくお願い申し上げます。
- ベストアンサー
- Windows系OS
- こういう場合の適切なユーザー権限はどうなるのでしょうか?
Windows2000serverでActiveDirectoryを構築しました。 通常のユーザーは「domain users」で問題ないのですが プログラマがこの権限だとプログラム作成時や実行時に 新規フォルダを「Program Files」内に作れない、必要なDLLにアクセス権限がないと等のエラーが出ます。 かといって「Domain Admins」だとセキュリティ上好ましくないと思いますし。 こういった場合、どのような権限で運用すればいいでしょうか? よろしくお願いします。
- ベストアンサー
- Windows系OS
- administratorとは?
WINDOWS XPにおいてOSイントール時に必ず1個はアカウントを作らせられるわけですがこのアカウント以外にAdministratorというアカウントがありますよね? 親にadministratorのアカウントはAdministratorsのグループの中でも特殊な権限だと言われたのですが実際どうなのでしょうか? 私的意見として管理権限としてのグループって概念がある以上Administratorだろうが新しく作ったアカウントであろうがAdministratorsのグループにおいては同等の権限が与えられると思っているのですがどうなのでしょうか?
- 締切済み
- Windows系OS
- XPでAdministrator権限のアカウントを消してしまいました
WindowsXPでAdministrator権限のユーザーアカウントを誤って消してしまい、コンピュータの中を見ることも変更することもできません。制限ユーザーだけになってしまいました。こんなことがあるんでしょうか?変更したりしようとすると、設定もしていないパスワードを聞かれます。このパスワードがわかりません。 どうすれば、どうすれば、この一度消したAdministrator権限が復活できますか? もしくは、制限ユーザーでPCの中身の変更などができますか? 急ぎ教えていただければ幸甚です。
- ベストアンサー
- Windows系OS
- ユーザ権限について
ユーザ権限について教えて欲しいのですが、AdministratorとAdministratorsの違いは何なのでしょう? それから特定のユーザーに複数の権限を設定したときどの権限が生きるのでしょう? 詳しく教えていただけると幸いです。
- 締切済み
- Windows XP
- 一般ユーザーの権限の運用について
ActiveDirectoryにて500人ほどのユーザーがいて それぞれに1台ずつPCが割り当てられており 現在は各自のPCに対してはローカルのadministratorsグループに所属しているので管理者権限があります。 ただ、管理者権限を与えておくと ほとんどのことを自由に操作できてしまうため 社内で購入したライセンス以外のソフトを インストールされたりと、管理が大変になってくると思うのですが 他の会社の管理者の方はどのような運用をなさってるのでしょうか?? よろしくお願いいたします。
- ベストアンサー
- その他(ITシステム運用・管理)
- Windows7のAdministrator
会社のPC管理者をやってます。 Windows7に変える準備として、ローカルAdministrator権限をどうしようか考えています。 ちなみにユーザーはドメインユーザーです。 基本、Administratorは無効になっているので、これを有効にするか、 他にAdministrators権限ユーザーを作るかで迷っています。 セキュリティ的にはユーザー名も知られない方が良いので、他ユーザーを作った方が良いのか、 でも、Administratorsグループは確認できるのとusersフォルダみればバレるので意味無いのか。 結局パスワードで保護されてるのでどちらでも良い気がしますが。 他の会社の事例を含めた意見やアドバイスが欲しいです。 よろしくお願いします。
- ベストアンサー
- その他(ITシステム運用・管理)
お礼
返信ありがとうございます。 >Domain Admins、は通常サーバー管理者のみ使うものだと私は考えます。 わかりました。ちなみに確認なのですがドメインの「Administrators」と「Domain Admins」では前者(Administrators)の方が権限が高いですよね。 といことは、一般ユーザーのグループにAdministratorsを追加するのはもってのほかですね。