- 締切済み
グループポリシーで特定のフォルダに管理者権限付与
ネットワークドライブ上に有る、特定のフォルダ内のプログラムがUser権限で動作しないため、そのシステムを使うクライアントが、ADに参加させられません。 システムベンダーに相談したのですが、ADの事が分からず困っております。 ◎環境 基幹システムAサーバー:WindowsServer2008R2 ADサーバー:WindowsServer2008R2 クライアント:Windows7Pro 基幹システムAサーバー内の、フォルダAにプログラム各種が入っており、クライアント側でフォルダAをネットワークドライブとしてマウントしております。 そこで、フォルダA内のすべてのファイルに対してだけ、Administrator権限で動作するように設定出来ればと考えております。 あわせて、クライアントが20台近くある為、出来ればグループポリシーの設定でなんとかならないかとっ考えております。 目的としては、下記要件を達成できれば、最悪グループポリシーで一括設定にはこだわりません。 ただ、クライアントPC移動や、ユーザーの移動が考えられる為、出来ればAD側でコントロール出来れば幸いです。 ◎クライアントをADに参加させ、User権限で動作させる事。 ◎その上で、基幹システムAが動作する事。 ADの知識が乏しいため、全く分かりません。 参考になる、日本語サイトでも結構ですので、アドバイスを頂けましたら幸いです。
- sujinosuke00
- お礼率93% (30/32)
- その他(ITシステム運用・管理)
- 回答数1
- ありがとう数11
- みんなの回答 (1)
- 専門家の回答
みんなの回答
- komekome2014
- ベストアンサー率50% (2/4)
全クライアントが同じユーザーでアクセスするようになりますが、以下のような方法で実現できます。 ※各クライアントでWindows(ドメイン)へのログインはこれまで通り普通に行ってください。 1.ドメインに新しいユーザーを作成し、このユーザーの権限をすべての業務アプリが動作する権限に設定します。 ここでは、このユーザーの名前をuser、パスワードをpassと仮定してご説明します。 また、共有フォルダのあるサーバーの名前をserver.domain、フォルダAの共有ボリューム名をshare-aと仮定してご説明します。 2.共有ボリューム \\domain\SYSVOL\domain\scripts 配下に以下のバッチファイルを作成します。 ※ローカルパスはADサーバーの%systemroot%\SYSVOL\domain\scripts または %systemroot%\SYSVOL_DFSR\domain\scripts です。 [mapdrive.bat] @echo off net use \\server.domain\share-a /delete /y net use \\server.domain\share-a pass /user:domain\user /persistent:no 3.ADサーバー上で新しいグループポリシーを作成し、ユーザーポリシーのログオンスクリプトにフルパス指定で作成したバッチファイルを登録して下さい。 4.作成したグループポリシーが業務アプリを利用するすべてのユーザーに対して適用されるように設定して下さい。 (解説) Windows7はnet useコマンドによってネットワーク上の共有リソースにアクセスするときに使用するユーザーアカウントをログインしているユーザーとは異なるアカウントに設定することができます。一度設定された情報は、ネットワークインターフェースを無効にするか、ネットワーク設定を変更するか、ログオフ・再起動するか、またはnet use /deleteコマンドで登録した情報を削除しないかぎり継続して同じユーザーアカウントを利用します。 この性質を利用し、ユーザーログオン時にバッチファイルでnet useコマンドを実行し、ログオンユーザーとは異なるユーザーで共有ボリュームにアクセスするように設定することで、フォルダAにあるプログラムを実行する時だけ異なるユーザー権限で実行することが可能です。 (問題点) ユーザーがパスワードを再入力せずに利用するためにはパスワードをバッチファイルに直接書かないといけないので、セキュリティ上の懸念があります。特に利用するユーザーの権限が高いと注意が必要です。対策としてはバッチ処理と同じ内容を実行するEXEファイルなどを作成してパスワードを隠ぺいする必要があります。
関連するQ&A
- グループポリシーの適用が出来ない
グループポリシーの適用について教えて下さい。 現在、Windows2003でアクティブディレクトリによるドメイン管理の環境を構築しているのですが、クライアントの時刻をログオン時にサーバー(ドメインコントローラー)の時刻と同期させたいのですが上手くいきません。 詳しい環境と条件・現象は以下の通りです。 ・サーバー:Windows2003(ADサーバ1台) ・クライアント:WindowsXP SP2(30台) ・ネットワークは社内で閉じている ・NTPサーバ機能はADサーバのサービス(Windowsタイムサービス)で起動。 ・クライアントのスタートアップにnet timeコマンドで時刻同期するバッチを置く。 ・ADのGPMCでデフォルトドメインポリシーの「コンピュータの構成 - Windowsの設定 - セキュリティの設定 - ローカルポリシー - ユーザー権利の割り当て - システム時刻の変更」を有効にしてグループ「everyone」を追加。 ・ログイン時にバッチが走るが「クライアントは要求された特権を保有していません」と表示され同期できない。 ・ドメインユーザアカウントに「domain admins」グループ追加すれば成功。(当然だが) 何か設定漏れがあるんでしょうか?
- 締切済み
- その他(ITシステム運用・管理)
- NTFS権限やグループポリシーの適用状況
よろしくお願いします。 社内でファイルサーバ(Windows2008R2)を運用していますが、 フォルダが乱立し、それぞれがどのユーザに権限が付与されているか、 全く管理が出来ていない状況です・・。 グループポリシーについても、それに近い状況です。 フォルダに適用されているNTFS権限や、グループポリシーの設定情報を リスト化、もしくはビジュアル化するツールやコマンドをご存知でしたら、 教えて頂けますでしょうか?。 状況を先ずは可視化することから、と考えております。 ツールは有償でも構いません。 お知恵を頂けると助かります。
- ベストアンサー
- Windows系OS
- グループポリシーが適用されない
WINDOWS2000でActiveDirectoryを使用して各PCを制御したいと思い、グループポリシーをサーバー側に設定したのですが、まったく何も設定したポリシーがクライアントPCに反映されません。 設定内容:サーバー側のActivedirectoryユーザーとコンピュータのドメインのプロパティのDefault Domein Policyの編集で設定を行っています。 クライアントPCはもちろんドメインに参加していてサーバー側に登録されたユーザーでログオンできます。 クライアントのイベントビューアで確認すると”ユーザーまたはコンピュータ名を判断できません。戻り値は(1722)です。と表示されています。ユーザーは”NT AUTHORITY\SYSTEM”となっています。何か関係あるのでしょうか?お解りの方いましたら教えてください。
- 締切済み
- その他(ITシステム運用・管理)
- 移動プロファイルをグループポリシーで管理したい
社内システムで移動プロファイルを使用しています。 今度、現在ドメインコントローラーとして稼働している2003Serverを2012Serverに移行することになりました。 それに伴い、サーバー名も変更になります。 移動プロファイルはADの各ユーザーオブジェクトで設定すると思うのですが、数が多いため、1ユーザーごとに設定を変更するのは結構な手間になってしまいます。 フォルダーリダイレクトのように、グループポリシーで一括管理する方法はないのでしょうか? 調べても、該当する情報は得られませんでした。 同じような状況は他社でも起こるのではないかと思うのですが。 詳しい方、アドバイスをいただけたら幸いです。
- ベストアンサー
- その他(ITシステム運用・管理)
- グループポリシーについて
いつもお世話になります。 タイトルについて、 Win2000でActiveDirectoryを採用していて グループポリシーを使ってドメイン配下のクライアントを制御しています。 ただ、ルーター越えのクライアントについて以下の設定が有効になりません。 グループポリシー ⇒ユーザーの構成 ⇒Windowsの設定 です。 グループポリシー ⇒ユーザーの構成 ⇒管理用テンプレート の方は有効になっているのですが・・・。 何かお気づきの方、お願いします。
- 締切済み
- Windows NT・2000
- グループポリシーについて
教えてください。 ADに参加していないサーバでのグループポリシーというのはどのような効力があるのでしょうか? ローカルポリシーというのがあります。 AD参加していないサーバ上においてはローカルポリシーのみが有効という認識でいたのですが、間違いでしょうか? AD参加もしくは参加していない関係無く、グループポリシーというのは有効なものでしょうか? グループというものなのでイコールADと関係しているのではと勘違いしているかもしれません。 基本的な質問ですみません。教えてください。
- ベストアンサー
- Windows系OS
- グループポリシー(壁紙の設定)について
Active directoryをインストールしたサーバ(windows 2000 server)を利用して ユーザに統一された壁紙を設定するために、設定したいOUを選択して、グループポリシーを起動させて 画面右端の"ツリー"の[ユーザの構成]→[管理用テンプレート]→[デスクトップ]→[Active desktop(以下Ad)]と展開して "Adを有効にする"を有効にして、"Adの壁紙"を有効にし、壁紙名と壁紙のスタイルを指定しました。 そして、そのOUに属するユーザでクライアントPCからドメインにログオンしたところ、指定した壁紙は表示されるのですが、それまで表示されていたデスクトップアイコンが非表示になってしまいました。 ユーザがログオン時に"壁紙もデスクトップアイコンも"表示させられるようなグループポリシーの設定方法を教えてください。 よろしく、お願いします。
- ベストアンサー
- ハードウェア・サーバー
- グループポリシーで、dnsサーバーを変更したい
地震対応でDNSサーバーの移転を計画しています。 現在のDNSサーバーと並行運用の為、グループポリシーで、優先DNSサーバーおよび、代替DNSサーバーを変更したいと思っています。 クライアントはWindows7です。 自分なりに調べてはみましたが、管理テンプレート>ネットワーク>DNSクライアント>DNSサーバーとたどりましたが、必要条件がXPのみになっていました。 Windows7での変更は可能でしょうか? 現状のGPOではクライアントユーザーにはネットワークの変更権限はありません。
- ベストアンサー
- Windows 7
- WindowsServer2008でのフォルダのアクセス権限
WindowsServer2008でのフォルダのアクセス権限について教えてください あらたにフォルダを作成しAさんにフルコントロールの権限を与え管理してもらいたいと考えています。 しかし、フルコントロールを与えるとAdministratorsの権限設定も変えれてしまうためバックアップやその他のソフトが正常に動作しなくなるのではないかと心配しています。 Aさんにフルコントロール権限(またはそれと同等の権限)をあたえつつ、Administratorsなど特定のアカウント/グループの設定は変更できなくするようなことはできるのでしょうか? ご存知の方いましたらご教授願います。
- 締切済み
- Windows系OS
- グループポリシーでFirewall ポリシー管理
いつも勉強させて頂いております。 Windows Server 2008 R2でドメインを構成しております。 グループポリシーを利用して、各メンバーサーバでのWindowsファイアウォール設定を一元管理したいのですが、すべてのメンバーサーバに同一の設定内容を割り当てるのではなく、 複数のサーバ単位で、Windowsファイアウォール設定を管理したいと考えております。 (例) サーバA,B,Cは、同一のWindowsファイアウォール設定ポリシー#1を割り当てる。 サーバD,Eは、Windowsファイアウォール設定ポリシー#1ではなく、Windowsファイアウォール設定ポリシー#2を割り当てる。 グループポリシーで、Windowsファイアウォール設定ポリシーを複数作成して、 そのポリシーが該当するそれぞれのサーバに割り当てることは可能でしょうか。 デフォルトですと、メンバーサーバは、"Servers"(?)とかのビルトインOUに組み込まれてしまうため、 グループポリシーを作成しても、Windowsファイアウォール設定ポリシーは、全メンバーサーバに 適用されてしまいそうな気がします。 それとも、メンバーサーバについて、デフォルトで所属する"Servers(?)"以外のOU(運用形態に応じて手動作成したもの)に移動して、OU単位で、メンバーサーバにWindowsファイアウォール設定ポリシーを割り当てることが出来るのでしょうか。 ご教示のほど、宜しくお願い申し上げます。
- ベストアンサー
- Windows系OS
お礼
komekome2014様 アドバイスありがとうございます。 いま、他の仕事に追われてますので、来週時間を作ってやってみます。 ありがとうございました。