一般ユーザにローカルPCの管理者権限を与える方法
- Windows2003ServerでActiveDirectoryを使用している場合、遠隔地のクライアントパソコンに一時的にAdministratorsグループにドメインユーザを追加する方法を考えています。
- 方法1では、管理ツールを使用して一台ずつ操作する必要がありますが、電源が入っていない場合は作業ができません。
- 方法2では、ドメインサーバーから新しいグループポリシーを作成し、制限されたグループにAdministratorを追加する方法ですが、既存のAdministratorグループのメンバーが上書きされます。
- ベストアンサー
一般ユーザにローカルPCの管理者権限を与えたい
よろしくお願いします。 Windows2003Serverにて、ActiveDirectory(単一のドメイン)でサーバー運用しております。 遠隔地にある(ドメイン参加済の)クライアントパソコン約100台に対して、 一時的にではありますが、 各クライアントパソコンのAdministratorsグループに、 そのパソコンを使用するドメインユーザを追加したい と思っています。 この場合、以下の方法が考えられると思います。 方法1) (1)管理ツール→コンピュータの管理から、[別のコンピュータへ接続]で対象となるパソコンに接続。 (2)ローカルユーザーとグループからAdministratorsグループを選択し、 ドメインの特定のユーザーを追加。 ⇒一台ずつ行うのが面倒。 ⇒電源が入っていないと作業が出来ない。 方法2) (1)ドメインサーバーから、新しいグループポリシーを作成。 (2)コンピュータの構成→Windowsの設定→セキュリティの設定→制限されたグループ ここに[Admnistrator]を追加。 ⇒クライアントパソコン上の既存のAdmnistratorグループ所属メンバが全て上書きされる。 各方法は、【⇒】に書いた問題(?)がある為、採用したくありません。 そこで、 グループポリシーの[スタートアップスクリプト]あるいは[ログオンスクリプト] を利用し、自動でユーザー追加作業を行えるのかなと思ったのですが、 スクリプトをドメイン管理者の権限で実行する方法が分かりません。 何か上記を実現する方法はありますでしょうか? ※psexec、runasaといったツールは使えるのでしょうか?? 使える場合、どのような方法になるのでしょうか?ヒントだけでも欲しいです。
- nao515
- お礼率36% (8/22)
- その他(ITシステム運用・管理)
- 回答数2
- ありがとう数2
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
ポリシーに関してですが、Administratorsグループのメンバを上書きする方法と、Administratorsグループにメンバを追加する方法があります。 以下のように設定すると、ローカルのAdministratorsグループは上書きされ、Administratorとドメイン\Domain Usersしか存在しなくなります(それ以外のAdministratorsグループのメンバはグループから削除されます)。 ・グループ名 :Administrators ・このグループのメンバ:ドメイン\Domain Users 以下のように設定すると、ローカルのAdministratorsグループに、ドメイン\Domain Usersを追加できます。 ・グループ名 :ドメイン\Domain Users ・所属するグループ :Administrators ただし、今回はそのクライアントを使うドメインユーザーのみをAdministratorに追加したいということなので上記方法では不十分だと思われます。 またスクリプトをドメインの管理者権限で行う方法が分からないとのことですが、スタートアップスクリプトに仕込んだ場合にはクライアントのローカルシステム権限(だったと思います)で動作するので, クライアントのAdministratorsグループの操作は可能です(こちらでも実際に行っています)。 以下VBSからその部分だけ抜粋です。 Set objNetwork = CreateObject("Wscript.Network") ComputerName = objNetwork.ComputerName DomainName = 【ドメイン名】 UserName=【ドメインユーザー名】 Set objGroup = GetObject("WinNT://" & ComputerName & "/Administrators") Set objUser = GetObject("WinNT://" & DomainName & "/" & UserName) objGroup.Add(objUser.ADsPath) ※DomainNameは貴社ドメイン名を設定 ※UserNameはComputerNameに該当するドメインユーザー名を設定
その他の回答 (1)
- OMEGAT
- ベストアンサー率70% (455/642)
#1です。 スタートアップスクリプトはユーザーがログオンする前に実行されますので、ログオンユーザーの取得ができません。 また、通常ログオンするユーザーが決まっているとはいえ、あくまでもそれは運用がそうなっているだけで、実際にログオンしているユーザーを取得しようとすれば、レジストリを参照するか、プロファイルフォルダを参照し、過去にログオンしたユーザーを調べるなどの方法をとり必要があると思います(プロファイルフォルダはユーザー名と等しく無い可能性もありますが)。 こちらが実際に行っているのはクライアント50台程度ですが、以下のようにコンピュータ名とユーザー名を直接書いています。 Select Case Ucase(ComputerName) Case "PC01" UserName = "User01" Case "PC02" UserName = "User02" Case "PC03" UserName = "User03" ・ ・ ・ End Select
お礼
ご回答ありがとうございました。 やはり、コンピュータ名とユーザー名を直接記述するのが、 確実かつ一番行いたい事になる、という事だと思いました。 ちなみに、ADサーバーから実行すればクライアントPCの権限不足は気にしなくてもいいのか という考えで、以下のような方法でできないものかとも思ったのですが、 (1)(2)に記載している【通知】の部分が具体的に思い浮かばないので、諦めました。 (1) クライアントPCは、ログイン時に(スタートアップスクリプトではなく、、) ログオンスクリプトの実行により、ADサーバーへログオンした事を【通知】する。 ※【通知】情報には、【コンピュータ名】とログイン時の【ドメインユーザー名】を含める。 (2) ADサーバーは、【通知】の受信をトリガーとし、以下のVBSを実行する。 Set objNetwork = CreateObject("Wscript.Network") ComputerName = 【コンピュータ名】 DomainName = 【ドメイン名】 UserName = 【ドメインユーザー名】 Set objGroup = GetObject("WinNT://" & ComputerName & "/Administrators") Set objUser = GetObject("WinNT://" & DomainName & "/" & UserName) objGroup.Add(objUser.ADsPath)
関連するQ&A
- ActiveDirectoryで一般ユーザーにadministrator権限を与えるには
ActiveDirectoryで一般ユーザーにadministrator権限を与えるには、 いくつか方法があると思いますが、どれが一番良いのでしょうか? ・グループポリシーの制限されたグループに、administratorsを追加してその中に一般ユーザーを含める。 ・ActiveDirectoryのユーザーとコンピュータから、一般ユーザーのグループにAdministratorsを追加する。 ・ActiveDirectoryのユーザーとコンピュータから、一般ユーザーのグループにDomain Adminsを追加する。 以上、宜しくお願いします。
- ベストアンサー
- Windows系OS
- ローカルAminsグループにドメインAdminを自動で追加したい
お世話になります。 現在、単一ドメイン(Win2003ActiveDirectory)にてサーバー運用しております。クライアントPCの設定が、基本的な項目を除きまちまちなのですが、管理上ドメインAdminアカウントでクライアントにリモートアクセスし、設定を確認したり等の作業を行なえるようにしたいと思っています。 そこで、全クライアントのローカルAdministratorsグループに、ドメインのAdministrator(またはドメインAdministratorsグループ)を一括設定できる方法はないでしょうか?グループポリシーを確認しましたが、それらしい項目が見当たりませんでした。なにかコマンドで設定できれば、ログオンスクリプトで流すなど可能かと思うのですが。 ちなみに各ユーザーのドメインユーザーアカウントは、各自PCのローカルAdministratorsグループに追加されています。 よろしくお願いします。
- 締切済み
- その他(ITシステム運用・管理)
- 新規ユーザ を追加出来ません
Win2000 SP4で 新規ユーザを追加しようとしたら エラーが出て出来ませんでした。 誰か解決方法を知りませんか? コンピュータ名 ws100 ドメイン SE ***************************** 新しいユーザーの追加 ユーザー名 TANAKA ドメイン グループ Administrators ↓ エラー内容 ユーザーws100\TANAKA を Administrators グループに追加できません。 ws100\TANAKA は存在しません。 ***************************** 新しいユーザーの追加 ユーザー名 TANAKA ドメイン SE グループ Administrators ↓ エラー内容 ユーザーSE\TANAKA を Administrators グループに追加できません。 SE\TANAKA は存在しません。 ***************************** 新しいユーザーの追加 ユーザー名 TANAKA ドメイン ws100 グループ Administrators ↓ エラー内容 ユーザーws100\TANAKA を Administrators グループに追加できません。 ws100\TANAKA は存在しません。
- ベストアンサー
- Windows NT・2000
- Windows7のアカウント管理
Windows7のアカウントの管理方法について質問があります。 環境 OS:Windows7 Professional 32bit ドメインサーバに参加 アカウントの種類 1:ローカルのAdministrator(通常は無効) 2:ローカルの標準ユーザー(管理者権限なし) 3:ローカルの管理者ユーザー(管理者権限あり) 4:ドメインサーバ上のアカウント ※私はドメインサーバの設定を変更する権限はありません。 1~4のアカウントそれぞれに詳細な設定をするため、グループポリシーの設定をしようと思っています。 「2」と「1、3」は必要な設定項目が違い、同じローカルグループポリシーでは設定ができないため、 複数のグループポリシーで設定を使用と思っております。 また、「4」は複数のユーザーが使用する可能性があるため、Administratorのプロファイルを Defaultユーザーのプロファイルにコピーしようと思います。 Windows7では複数のローカルグループポリシーの設定ができるようです。 「1、3」の管理者用(Administrators)のグループポリシー 「2」用の非管理者用のグループポリシー と設定して管理したいと思います。 複数のグループポリシーの設定方法(呼び出し方)は下記サイトで理解できました。 http://technet.microsoft.com/ja-jp/library/cc731758.aspx グループポリシーを各ユーザーに適用させるためには、どうすればいいのでしょうか? アカウントのユーザー権限の種類と、ローカルグループポリシーの種類とリンクしているのでしょうか? 例 管理者権限のユーザーにはAdministratorsのグループポリシーが適用、 制限ユーザーには非管理者のグループポリシーが適用されるとか。 グループポリシーの管理や、ドメイン環境の管理が初めてなので、 教えていただきたいと思います。 ここは見ておけ!のサイトとか、 これは読んでおけ!の書籍なんかも教えて頂けると助かります。
- ベストアンサー
- その他(ITシステム運用・管理)
- ドメインの一般ユーザーにローカルの管理者権限を付与したい
ドメインの一般ユーザーにローカルコンピューターの管理者権限を付与する方法を教えてください。ドメイン管理者のパスワードは知っています。
- ベストアンサー
- Windows系OS
- 管理者(admin)権限が当たらない?
ある会社でシステム管理者を行っているものですが、 ある社員がソフトをインストールするため管理者権限を与えて欲しいと要請がありサーバーのほうから administratorsのグループにそのユーザーを追加したのですがなぜかそのユーザーだけ権限が当たりません。 ほかの社員と全く同じ環境なのになぜでしょうか? ちなみにサーバーは2003でPCはXPです。 ご回答よろしくおねがいします。
- ベストアンサー
- その他(ITシステム運用・管理)
- Windowsサーバの管理でユーザー画面を開くことができません。
Windowsサーバの管理でユーザー画面を開くことができません。 Windows2000、富士通PRIMERGYを使っているのですが、マイコンピューター→管理→ユーザーを編集しようとすると「ローカルユーザーとグループ コンピューター×××はドメインコントローラーです。ドメインコントローラでこのスナップインは使用できません。ドメインアカウントはActive Directoryユーザーとコンピュータのスナップインで管理します。」と表示され、ユーザーに×印がついていて編集できません。特段なにか変更したわけでもアップデートしたわけでもないのですが変更できません。サーバはドメイン設定ですがクライアントはワークグループ環境で利用しています。 導入して約8年たつので故障かとも思いますが、対処方法ご存知でしたらお教えください。
- 締切済み
- ハードウェア・サーバー
- ActiveDirectry ユーザ権限について
会社でActiveDirectryを構築しています。(Win2000Server) もちろんActiveDirectryではユーザー管理をサーバーで一括して行なっていますが、一般ユーザーはドメイン上ではDomainUser、クライアントではインストール等作業ができるようにAdmin権限が必要なのです。 これを実現するためにはどのようなグループに所属させればよいのでしょうか? サーバー側のユーザ管理のみで実現できるのでしょうか?
- ベストアンサー
- Windows NT・2000
- 支店でのPCユーザー管理を本社で行うには?
支店を開設することとなりました。 支店でのスタッフは2~3名となる予定です。 現在、本店ではWindows Server 2008 SP2 で構築しているネットワークがあります。 本店内でユーザー(クライアントPC)の管理をしており例えば、USBメモリの禁止やスクリーンセーバーの強制などグループポリシーで様々な規制を行っております。 支店で勤務するユーザー(クライアントPC)の管理を本店のサーバー(ドメインコントローラー)で行う方法を教えていただきたいです。 「方法」とは具体的に用意すべきインフラも含めてお願いします。 その前の条件として 1・クライアントPCのOSはWindowsXPでいく 2・サーバーOSはWindowsServer2008standardでいく 3・支店と本店間のデータのやり取り(売り上げ等のオンラインファイル)はない。但し移動(単なるデーターの移動)は50MB~100MBのファイルを1日20~30は移動させる お願いいたします。。。
- 締切済み
- その他(ITシステム運用・管理)
- AD 制限されたグループの設定について
Windows Server2012 にて グループポリシーで「Administrators」と「Domain Admins」に所属させたい と思っております。 下記のサイトを参考にし、 http://rtaki.sakura.ne.jp/infra/?p=915 「制限されたグループ」に「Administrators」と「Domain Admins」を追加しました。 その後、上記グループに追加した内容が反映されておりませんでした。 【操作】 (1)グループポリシーの管理にて、OUにリンクされているポリシーを編集 (2)グループポリシー管理エディタにて、[制限されたグループ]を選択 (3)右クリック→グループの追加をし、「Administrators」を指定する (4)このグループの所属に、「GP_Yakusyoku」を追加する (5)適用ボタンを押下する (6)同様に、「Domain Admins」についても(1)~(5)を実施する ※GP_Yakusyokuは、OUに配置しているメンバーが所属しているグループです。 【確認】 AdministratorsとDomain Adminsのプロパティの[メンバー]タブにて、 「GP_Yakusyoku」グループが入っておりませんでした。 gpupdateやサーバ再起動を行なっても入っておらず、 操作方法に漏れがあるのではと思っております。 反映されていない原因について、教えていただきたく思います。 以上、よろしくお願いいたします。
- 締切済み
- Windows系OS
お礼
早速のご回答ありがとうございます。 VBSについては検討しておりましたが、 > UserName=【ドメインユーザー名】 の部分も、自動的に【各クライアントを使うドメインユーザー】を指定したいにも関わらず、 スタートアップスクリプト起動の時点で取得できない、と考え諦めました。 (これについては試す時間が無く、実際には試しておりません。。) スタートアップスクリプトで、 UserName=objNetwork.UserName とし、普段ログインしているユーザーが選択されればベストなのですが、 これも実現できるのでしょうか? 現在、1パソコンに対して1ユーザーが割り当てられており、 約100台のパソコンには約100人のユーザーが割り当てられております。 100個分の固定のユーザー名を記述したVBSを作成する、 もしくは、if文のような記述で100ユーザー文の処理を記述する のは大変かなと思いました。 ※作業用のユーザーを1人割り当てるのが妥当かもしれないのですが、 現時点では会社のやり方がそうなので、今回についてはやり方を変えられません。 OMEGAT様は、もし複数クライアントのAdministratorsグループの操作を行う場合、 ご回答のVBAをどのように設定しておられるのでしょうか? 差し支えなければお教え願います。