ActiveDirectory権限について

前へ 次へ
このQ&Aのポイント
  • ActiveDirectoryの権限について知りたいです。
  • ドメインに参加したユーザが、Active Directoryサーバにローカルログオンするためにはどの権限が必要ですか?
  • Domain Adminsより弱い権限でADサーバへローカルログオンできる権限はありますか?
回答を見る
  • ベストアンサー

ActiveDirectory権限について

いつもお世話になっております。 ADへドメインに参加しているグループは、 基本的に「Domain Users」・「Domain Admins」が 割り振られるものと思っております。 ドメインに参加したユーザが リモートデスクトップ等を利用し、 Active Directoryサーバにローカルログオンするためには、 「Domain Users」では権限が弱すぎることからログオンできないため、 「Domain Admins」権限が必要になります。 しかし、ローカルログオンを実施するためだけに 「Domain Admins」権限を用いるのでは余りにも強すぎます。 Domain Adminsより弱い権限で ADサーバへローカルログオンできる権限はありますでしょうか? よろしくお願いします。

質問者が選んだベストアンサー

  • ベストアンサー
  • monda
  • ベストアンサー率87% (50/57)
回答No.1

対象と手段ごとに方法が異なります。 また「ターミナルサービス提供中」かどうかでも異なります。 対象: ・特定のサーバのみ ・そのドメインのドメインコントローラ以外のサーバ ・そのドメインのドメインコントローラ 方法: ・ローカルコンソール ・リモートデスクトップ(ターミナルサービス) 話からすると「ドメインコントローラ以外」「ターミナルサービスは 稼動していない」「リモートデスクトップ」という条件でしょうか。 ついでに、対象サーバは Windows server 2003 として。 これを前提とするならば:   「コントロールパネル」「システム」「リモート」タブの   「リモートデスクトップ」の「リモートユーザーの選択」ボタン、   ここに利用させたいユーザを追加しておきます。 という方法で可能です。 --

it2008
質問者

お礼

ご回答ありがとうございます。 なるほど。条件が明確になっておりませんでした。 申し訳ございません。 当件は、「Account Operators」と「Domain Users」を 付与することにより、解決できました。 「Account Operators」はドメイン参加、 「Domain Users」はローカルログオンに必要となりました。 どうもありがとうございました。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. その他([技術者向] コンピューター)

関連するQ&A

  • ActiveDirectory導入について

    初めまして。 初めて社内にActive Directoryを導入する者です。 Active Directoryに関する本やサイトを調べていますが、情報が無かったのでお聞きします。 1.PCやファイルサーバーのローカルフォルダを共有したいのですが、どのようにすればいいのでしょうか?  フォルダのプロパティで、「共有」タブが出ていないので、共有フォルダを作れません。  Domain Usersグループのユーザーでは、共有フォルダを作れないのでしょうか? 2.ファイルサーバー(DC以外)をActive Directoryに参加させるには、そのサーバー用に  新規のドメインユーザーを作ってから、参加させる必要があるのでしょうか?  例:「ABCサーバー」用に「ABC_User」というドメインユーザー(Domain Usersグループ所属)を    作る必要があるのでしょうか? 3.ドメインユーザーにローカルのAdministrator権限を与えたいですが、どのようにすればいいでしょうか?  但し、ローカルのユーザー管理でAdministratorグループにドメインユーザーを手動で追加させる  方法はしたくありません。 Active Directoryについては、全くの初心者のため、非常に初歩的な質問ではありますが、なにとぞ回答をよろしくお願いします。 【環境】  DC:Windows Server 2003  DNS:BIND9.3.0  クライアント:Windows XP/2000 以上、よろしくお願いします。

  • Windowsの権限について

    Windowsの権限がややこしく困り果てています。 一般的にドメインに参加させていないPCはローカル又は、WorkGroup のPCとなり、ユーザーは自分一人で使う分には、Admninのグループに 所属させておけばよいのですが、 ドメインに参加させた場合が問題ですよね? と、いいますのは、ドメインに参加させると、いきなり、Toolなど インストールできなくなったなどということがあると思います。 これは、つまり、ドメインに参加したユーザーにはインストール権限が無い ということになると思いますが、ドメインに参加したユーザーにもインストール できる権限をあたえるには、 (1)ドメインのAdministorator権限を与える( (2)DomainAdminのグループにいれる。 (3)ローカルPCのadmin権限でPCに入り直し、ローカルadminでインストール  を行うということが考えられると思います。 (1)(2)は通常、一般のユーザーにドメインのadmin権限など与えることはしないと 思うので、却下として(3)の場合です。 この(3)(ローカルのadmin権限を与える)は、ADのサーバー上から設定できるものなのでしょうか? ADのサーバー上から、ローカルのadmin権限を与えることができない場合は、どの様にすれば よいのでしょうか? それから、 ADのサーバー側でユーザーを作成すると、作成されたユーザーは、DomainUsersグループ に所属することになると思うのですが、このDomainUsersグループというものは、どの様な権限 を持つのでしょう?自分のPCにダウンロードしてきたToolなどインストールできない権限なわけですよね?

  • Active directoryユーザ権限

    Active directoryのローカルコンピューターの権限について Windows2008R2でADを構築し以下の様にユーザーを作成し、ドメインにクライアントPCでログインしたのですが、 クライアントPCでソフトウゥアのインストールができません。インストール等の権限がないようです。 設定した項目(設定値) ■Server側の設定 Active directoryのコンピューターとユーザーのUsersコンテナに「山田太郎」というユーザーを作成。 以下入力値 姓:山田 名:太郎 表示名:山田 太郎 ユーザーログオン名:yamada@test.local パスワード:A123456% 所属するグループ:Domain Users(デフォルト) ■クライアントPC側設定(windows7) コンピューター名:YAMADA-PC ドメイン名:test.local ※クライアントPC上では、コントロールパネルや、[コンピューター]-[管理]から山田太郎というアカウントは 作成していません。ただ、デフォルトのコンピューター名を変更し、Admin権限で、コンピュータを ドメインに参加させただけです。 ドメインに参加できたことを確認し、(ADServerのComputersコンテナにYAMADA-PCが出現)一旦ログオフし Server上で作成した山田太郎でログイン。 ログインすると、クライアントPCのWindowsのスタートボタンを押すと「山田 太郎」と表示されている。 そして、Officeをインストールしようとすると、権限がありませんというようなメッセージが表示され、 インストールできません。 やはり、この場合は、クライアントPC側で、Admin権限で山田太郎というアカウントと作成し、山田太郎 というローカルのユーザに対しても、ローカルPC上でAdmin権限を設定するのでしょうか? サーバー上では、ローカルPCのユーザにローカルPCのadmin権限を与えることはできないのでしょうか?

  • ActiveDirectory ユーザログイン日時とホスト名

    私の会社でActiveDirectory環境を構築しております。 数が多いためこれまでローカルユーザだったのを順次 変更したのですが、全パソコンのリスト(ホスト名)が あってActive Directoryユーザとコンピュータよりホ ストはAD参加しているか確認できるのですが、そのパ ソコンでドメインログオンしているかがわかりません。 どうにかして取得できないでしょうか?

  • ActiveDirectoryで一般ユーザーにadministrator権限を与えるには

    ActiveDirectoryで一般ユーザーにadministrator権限を与えるには、 いくつか方法があると思いますが、どれが一番良いのでしょうか? ・グループポリシーの制限されたグループに、administratorsを追加してその中に一般ユーザーを含める。 ・ActiveDirectoryのユーザーとコンピュータから、一般ユーザーのグループにAdministratorsを追加する。 ・ActiveDirectoryのユーザーとコンピュータから、一般ユーザーのグループにDomain Adminsを追加する。 以上、宜しくお願いします。

  • Windows ドメインでの管理者ユーザについて

    Windows Server 2008 R2でドメイン環境を構成しており、 複数台のメンバーサーバが所属しております。 そのメンバーサーバには、それぞれ個別の業務用アプリケーションが搭載されております。 今度、アクティブディレクトリ(AD)上のAdministrator(ビルドインユーザ)以外にも、 AD上に作業用のためのAdmin権限を持った作業用ユーザを作成することになりました。 そこでご教示頂きたいことがあります。 AD上のAdministrator(ビルドインユーザ)では、 所属グループがAdministrators、Domain Adminsとなっているため、 ドメイン内のどのメンバーサーバでもAdmin権限で作業が出来ることになるかと思いますが、 (1) 他のメンバーサーバではAdmin権限を利用出来ない、メンバーサーバ単位での Admin権限を持った作業用ユーザをアクティブディレクトリ上に作成することは可能でしょうか。 他のメンバーサーバ上で稼動するアプリケーション環境に対して、   その環境をいじくらせないようにするためです。 (所属するグループをAdministratorsのみにしてDomain Adminsグループに所属させない等)   やはり、この場合は、そのメンバーサーバ内のローカルユーザ"Administrator"と同等の 権限を持った作業用ユーザを作成することになるのでしょうか? 以上、ご教示のほど、なにとぞ、宜しくお願い申し上げます。

  • ドメインコントローラーと疎通がとれません

    XPを使っています。 ADドメインに参加させたのですが、少し動きが変です。 ドメインに参加させると、ローカルのadministratorsグループに Domain Adminsが追加されると思います。そこは正常なのですが、 追加でDomain Userを追加しようとしても、ユーザの選択画面に ADドメインが表示されず、ローカルのホスト名しか表示されません。 不思議に思い、PCを再起動させたところ、先ほどまでは正常に 表示されていた、Domain AdminsがS-1-5からはじまるIDに変更されて いました。 一旦、WORKGROUPに降りて、再度ADドメインへ参加してみたのですが、 状況が変わりません。何が原因なのでしょうか? 宜しくお願い致します。

  • ドメイン環境のリモートデスクトップ権限

    server2003がDC環境で、クライアントから別クライアントにリモートですくトップを試みますと、「このシステムのローカルポリシーはこのユーザーが対話的にログオンすることを許可しておりません」と表示されログオンできない管理者権限アカウントがあります。その管理者アカウントの所属グループはAdministrators/DomainUsersです。ただし、別の管理者アカウントではリモートですくトップOKです。そのアカウントの所属グループは以下です。Administrators/DomainUsers//DomainAdmins/EnterpriseAdmins /GrooupPolicyCreatorOwners/ShimaAdminsまた、このアカウントは ワークグループ時のローカルアカウントでした。リモートデスクトップされる側のクライアント(XP)のリモートタブでは許可にチェックが入っているだけです。Admin権限があるアカウントは無条件でリモートデスクトップが OKだと思っていたのですが、違うのでしょうか、また、この違いはなぜでしょうか?詳しい方がいらっしゃいましたら教えてください。

  • ActiveDirectoryにコンピュータアカウントを・・

    よろしくお願いします。 windows2000serverでの質問です。 Active Directoryにコンピュータアカウントを追加するにはドメイン管理権限はいらなく、Authenticated Users にその権利が与えられてるかと思いますが、その権利を無くし特定ユーザしかドメインに参加出来ないようにするにはどうすればいいのでしょうか? dcpol.msc を実行し、”ドメインにワークステーションを追加”にて特定ユーザ(例:pcmakeuser)のみに権限を与えたつもりでも、secpol.mscを実行し確認すると有効な設定はauthenticated userのままになっています。 これを特定ユーザだけに設定するにはどうすればよいのでしょうか? よろしくお願いします。

  • activedirectoryについて

    現在Windows2003Serverでドメイン環境の勉強をしています。 ADを組んでドメインコントローラにはすることができました。 ここで移動プロファイルについて教えてください。 まずADでユーザを作りそのユーザのプロファイルをサーバ側の任意のフォルダに指定します。その指定した任意のフォルダを共有かけてeveryoneフルコントロール等のアクセス権を与えます。 ここでクライアントをドメインに参加させて最初のログインではそのクライアントのDefault Userから読み込まれてログオフするタイミングでサーバ側へプロファイルを保存するという動作をすると思うのですが、その後同じコンピュータでログインするとその後はクライアントはサーバ側のプロファイルを読むのですか?それともローカル側に作られたプロファイルを読むのですか? もしローカル側のプロファイルを読むのだったらそのユーザで違うコンピュータでログインしたときにそこでは新たにプロファイルが作られてその作られたプロファイルがサーバにコピーされるのでしょうか? 動きについて分からないので教えてください。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する