• ベストアンサー

一般ユーザーの権限の運用について

ActiveDirectoryにて500人ほどのユーザーがいて それぞれに1台ずつPCが割り当てられており 現在は各自のPCに対してはローカルのadministratorsグループに所属しているので管理者権限があります。 ただ、管理者権限を与えておくと ほとんどのことを自由に操作できてしまうため 社内で購入したライセンス以外のソフトを インストールされたりと、管理が大変になってくると思うのですが 他の会社の管理者の方はどのような運用をなさってるのでしょうか?? よろしくお願いいたします。

質問者が選んだベストアンサー

  • ベストアンサー
  • celtis
  • ベストアンサー率70% (2271/3210)
回答No.2

「ドライバのインストールやWindowsUpdate」は、一般ユーザーに任せるものではありません。操作ミスや漏れ、実行タイミングのずれで不具合を起こす可能性がありますので、管理者がWSUSなどで自動配布するなり、バッチ処理なりで一元管理する必要があると思います。 ログオンスクリプトについては内容がわからないのでコメントできません。「管理の手間が省ける利便性」と「管理者権限を渡すことによる実害」をよく検討してみる必要があるでしょう。ADによるドメイン管理やグループポリシー制御が可能な環境なんですから、もっと活用してみましょう。

Niku_9
質問者

お礼

ご回答ありがとうございました。 ドライバのインストールなどは現場に出ているPCでユーザー自身に権限を与えておかないと仕事が回らない場合があるので現状はローカルのadministratorsグループに所属させて運用しています。 グループポリシーをもっと勉強してみたいと思います。

その他の回答 (1)

  • jjon-com
  • ベストアンサー率61% (1599/2592)
回答No.1

ローカルPCのAdministratorsグループのメンバにはしない,ではいけないのですか?

Niku_9
質問者

お礼

ありがとうございました。 非常に助かりました。

Niku_9
質問者

補足

そうすると、 ドライバのインストールや WindowsUpdateや 社内で運用してるログオンスクリプトが実行できない などの問題が出てくるのですがadministratorsグループのメンバにしない場合、上記の問題についてはどう対処してるんでしょうか?? 早速のご回答ありがとうございます。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. その他(ITシステム運用・管理)

関連するQ&A

  • ActiveDirectoryで一般ユーザーにadministrator権限を与えるには

    ActiveDirectoryで一般ユーザーにadministrator権限を与えるには、 いくつか方法があると思いますが、どれが一番良いのでしょうか? ・グループポリシーの制限されたグループに、administratorsを追加してその中に一般ユーザーを含める。 ・ActiveDirectoryのユーザーとコンピュータから、一般ユーザーのグループにAdministratorsを追加する。 ・ActiveDirectoryのユーザーとコンピュータから、一般ユーザーのグループにDomain Adminsを追加する。 以上、宜しくお願いします。

  • 一般ユーザにローカルPCの管理者権限を与えたい

    よろしくお願いします。 Windows2003Serverにて、ActiveDirectory(単一のドメイン)でサーバー運用しております。 遠隔地にある(ドメイン参加済の)クライアントパソコン約100台に対して、 一時的にではありますが、 各クライアントパソコンのAdministratorsグループに、 そのパソコンを使用するドメインユーザを追加したい と思っています。 この場合、以下の方法が考えられると思います。 方法1)  (1)管理ツール→コンピュータの管理から、[別のコンピュータへ接続]で対象となるパソコンに接続。  (2)ローカルユーザーとグループからAdministratorsグループを選択し、    ドメインの特定のユーザーを追加。  ⇒一台ずつ行うのが面倒。  ⇒電源が入っていないと作業が出来ない。 方法2)  (1)ドメインサーバーから、新しいグループポリシーを作成。  (2)コンピュータの構成→Windowsの設定→セキュリティの設定→制限されたグループ   ここに[Admnistrator]を追加。  ⇒クライアントパソコン上の既存のAdmnistratorグループ所属メンバが全て上書きされる。 各方法は、【⇒】に書いた問題(?)がある為、採用したくありません。 そこで、 グループポリシーの[スタートアップスクリプト]あるいは[ログオンスクリプト] を利用し、自動でユーザー追加作業を行えるのかなと思ったのですが、 スクリプトをドメイン管理者の権限で実行する方法が分かりません。 何か上記を実現する方法はありますでしょうか? ※psexec、runasaといったツールは使えるのでしょうか??  使える場合、どのような方法になるのでしょうか?ヒントだけでも欲しいです。

  • ローカルAminsグループにドメインAdminを自動で追加したい

    お世話になります。 現在、単一ドメイン(Win2003ActiveDirectory)にてサーバー運用しております。クライアントPCの設定が、基本的な項目を除きまちまちなのですが、管理上ドメインAdminアカウントでクライアントにリモートアクセスし、設定を確認したり等の作業を行なえるようにしたいと思っています。 そこで、全クライアントのローカルAdministratorsグループに、ドメインのAdministrator(またはドメインAdministratorsグループ)を一括設定できる方法はないでしょうか?グループポリシーを確認しましたが、それらしい項目が見当たりませんでした。なにかコマンドで設定できれば、ログオンスクリプトで流すなど可能かと思うのですが。 ちなみに各ユーザーのドメインユーザーアカウントは、各自PCのローカルAdministratorsグループに追加されています。 よろしくお願いします。

  • Windowsの権限について

    Windowsの権限がややこしく困り果てています。 一般的にドメインに参加させていないPCはローカル又は、WorkGroup のPCとなり、ユーザーは自分一人で使う分には、Admninのグループに 所属させておけばよいのですが、 ドメインに参加させた場合が問題ですよね? と、いいますのは、ドメインに参加させると、いきなり、Toolなど インストールできなくなったなどということがあると思います。 これは、つまり、ドメインに参加したユーザーにはインストール権限が無い ということになると思いますが、ドメインに参加したユーザーにもインストール できる権限をあたえるには、 (1)ドメインのAdministorator権限を与える( (2)DomainAdminのグループにいれる。 (3)ローカルPCのadmin権限でPCに入り直し、ローカルadminでインストール  を行うということが考えられると思います。 (1)(2)は通常、一般のユーザーにドメインのadmin権限など与えることはしないと 思うので、却下として(3)の場合です。 この(3)(ローカルのadmin権限を与える)は、ADのサーバー上から設定できるものなのでしょうか? ADのサーバー上から、ローカルのadmin権限を与えることができない場合は、どの様にすれば よいのでしょうか? それから、 ADのサーバー側でユーザーを作成すると、作成されたユーザーは、DomainUsersグループ に所属することになると思うのですが、このDomainUsersグループというものは、どの様な権限 を持つのでしょう?自分のPCにダウンロードしてきたToolなどインストールできない権限なわけですよね?

  • 管理者権限のユーザーが分かりません

    私が所属している会社で、管理者権限のあるユーザーとパスワードが分からなくなってしまいました。 WindowsXP Professional SP2です。 元々管理者権限だったユーザーのユーザー名を変更したら、 知らない間に管理者権限が外されてしまったようです。 (通常有り得ないので、誰かがいじったのか・・・?) そして、Administratorユーザーのパスワードも誰も知りません。 はたまた、Administratorユーザーが存在するかすらもう分かりません。 一応、管理者権限ではないユーザーであればログインは出来るようです(多分Userグループ)。 どうにかして、ログインしたユーザーに管理者権限を付与するか、 管理者ユーザー、パスワードが分かる方法はありますでしょうか?(後者は有り得ない・・・) 出来ればリカバリーは避けたいと祈るばかりです。 また、どこにユーザー情報は保持されているものなのでしょうか?分かったら好き勝手にいじれそうですが、 設定するからにはどこかにあると思うのですが・・・。 宜しくお願い致します。

  • ドメイン環境のリモートデスクトップ権限

    server2003がDC環境で、クライアントから別クライアントにリモートですくトップを試みますと、「このシステムのローカルポリシーはこのユーザーが対話的にログオンすることを許可しておりません」と表示されログオンできない管理者権限アカウントがあります。その管理者アカウントの所属グループはAdministrators/DomainUsersです。ただし、別の管理者アカウントではリモートですくトップOKです。そのアカウントの所属グループは以下です。Administrators/DomainUsers//DomainAdmins/EnterpriseAdmins /GrooupPolicyCreatorOwners/ShimaAdminsまた、このアカウントは ワークグループ時のローカルアカウントでした。リモートデスクトップされる側のクライアント(XP)のリモートタブでは許可にチェックが入っているだけです。Admin権限があるアカウントは無条件でリモートデスクトップが OKだと思っていたのですが、違うのでしょうか、また、この違いはなぜでしょうか?詳しい方がいらっしゃいましたら教えてください。

  • Active directoryユーザ権限

    Active directoryのローカルコンピューターの権限について Windows2008R2でADを構築し以下の様にユーザーを作成し、ドメインにクライアントPCでログインしたのですが、 クライアントPCでソフトウゥアのインストールができません。インストール等の権限がないようです。 設定した項目(設定値) ■Server側の設定 Active directoryのコンピューターとユーザーのUsersコンテナに「山田太郎」というユーザーを作成。 以下入力値 姓:山田 名:太郎 表示名:山田 太郎 ユーザーログオン名:yamada@test.local パスワード:A123456% 所属するグループ:Domain Users(デフォルト) ■クライアントPC側設定(windows7) コンピューター名:YAMADA-PC ドメイン名:test.local ※クライアントPC上では、コントロールパネルや、[コンピューター]-[管理]から山田太郎というアカウントは 作成していません。ただ、デフォルトのコンピューター名を変更し、Admin権限で、コンピュータを ドメインに参加させただけです。 ドメインに参加できたことを確認し、(ADServerのComputersコンテナにYAMADA-PCが出現)一旦ログオフし Server上で作成した山田太郎でログイン。 ログインすると、クライアントPCのWindowsのスタートボタンを押すと「山田 太郎」と表示されている。 そして、Officeをインストールしようとすると、権限がありませんというようなメッセージが表示され、 インストールできません。 やはり、この場合は、クライアントPC側で、Admin権限で山田太郎というアカウントと作成し、山田太郎 というローカルのユーザに対しても、ローカルPC上でAdmin権限を設定するのでしょうか? サーバー上では、ローカルPCのユーザにローカルPCのadmin権限を与えることはできないのでしょうか?

  • 管理者(admin)権限が当たらない?

    ある会社でシステム管理者を行っているものですが、 ある社員がソフトをインストールするため管理者権限を与えて欲しいと要請がありサーバーのほうから administratorsのグループにそのユーザーを追加したのですがなぜかそのユーザーだけ権限が当たりません。 ほかの社員と全く同じ環境なのになぜでしょうか? ちなみにサーバーは2003でPCはXPです。 ご回答よろしくおねがいします。

  • アカウントとフォルダのユーザー権限について

    管理者がCドライブ直下にフォルダを作成し、 そのフォルダに対し管理者(グループ:Administrators)は、アクセスできるが 一般ユーザー(Users)はアクセスできないようにしたいです。 そのフォルダで右クリックし、プロパティを選択、 セキュリティーの設定で管理者グループはフルコントロール許可で、Usersはフルコントロール拒否としました。その時点で管理者はそのフォルダを 開くことができないとだめなはずですが 管理者すらアクセス権限がありませんとなります。 他に設定する項目があるのでしょうか?

  • ローカルユーザーへのグループの割り当てについて

    Windows系のOSで、ローカルユーザーに対するグループの割り当てについてお伺いします。 ローカルにあるユーザーが作成されていましたが、そのユーザーの"所属するグループ"を確認すると、Administratrosグループに所属しているのに、他のグループが所属されてるユーザーがありました。 Administratorsグループに所属しているのであれば、他のグループを割り当てても意味がないと思っておりましたが、割り当てたグループは意味を成すのでしょうか。 ご存知の方、よろしくお願いします。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する