- ベストアンサー
AdministratorsとDomain Adminsの違い
ドメイン上のAdministratorsとDomain Adminsのグループの違いをそれぞれ教えて下さい。 権限など違いがわかりません。 どのような用途でそれぞれ使いわけるのでしょうか? よろしくお願いします。
- maintec
- お礼率36% (657/1802)
- その他(ITシステム運用・管理)
- 回答数1
- ありがとう数10
- みんなの回答 (1)
- 専門家の回答
質問者が選んだベストアンサー
<Administrators> ローカル管理者グループ そのマシンの管理を行う目的のグループ そのサーバ OS に最初から用意されているグループ AD 環境においては意味なしと言える。(と思う) <Domain Admins> ドメイン管理者グループ その Domain の全てを管理する目的のグループ Active Directory 構成にした時に用意されるグループ Active Directory 環境上では DC の Administrator ユーザーは DC 内の Administrators にも、AD の Domain Admins にも所属しているためややこしく感じるが、Administrators は無視しても構わない。(と思う) なぜなら Domain Admins に所属していれば自動的にローカルの Administrators にも所属しているから。 仮に個人名をつけた "admin-hoge" というユーザーを AD 上に作成し、これを Domain Admins に所属させたとしても、やはり自動的に DC 上の Administorators に所属するため、Administrators グループは意味を持たなくなる。 AD に所属するクライアント上で言えば、 クライアント ローカルの Administrators グループはそのクライアントの管理権限しか持たず、他のクライアントの管理権限は持たない。 ただし AD に所属している以上、クライアント ローカルの Administrators グループには Domain Admins グループも含まれるため、Domain Admins に含まれるユーザーはその AD に所属するすべてのクライアント上で管理権限を持つことになる。 じゃぁクライアントでも Administrators グループは無用なものなのかというとそうではない。 「個人に貸与したクライアントは、その個人にもクライアントの管理権限を与える」 というルールで運用するならば(一般従業員には推奨できるものではないが)、PC-A のローカル Administrators グループに AD 上の hoge ユーザーを加えることで、 hoge さんは PC-A の管理権限を持たせられる。(他の PC の管理権限は持たない) AD 上の hoge ユーザーを Domain Admins に所属させれば、hoge さんは AD 上の全ての PC で管理権限を持つ。 また、PC-A のローカルに admin-hoge というユーザーを作り、それを PC-A の Administrators に所属させれば、PC-A にしかログインできない管理権限ユーザーということになる。
関連するQ&A
- administrator、administrators の違いは
Windows2000Serverを使っていますが、 ドメイン管理ではなく、ワークグループ管理している場合、 administrator、administrators の違いは何でしょうか。 使い分けることはできるのでしょうか。
- ベストアンサー
- Windows系OS
- Windows ドメインでの管理者ユーザについて
Windows Server 2008 R2でドメイン環境を構成しており、 複数台のメンバーサーバが所属しております。 そのメンバーサーバには、それぞれ個別の業務用アプリケーションが搭載されております。 今度、アクティブディレクトリ(AD)上のAdministrator(ビルドインユーザ)以外にも、 AD上に作業用のためのAdmin権限を持った作業用ユーザを作成することになりました。 そこでご教示頂きたいことがあります。 AD上のAdministrator(ビルドインユーザ)では、 所属グループがAdministrators、Domain Adminsとなっているため、 ドメイン内のどのメンバーサーバでもAdmin権限で作業が出来ることになるかと思いますが、 (1) 他のメンバーサーバではAdmin権限を利用出来ない、メンバーサーバ単位での Admin権限を持った作業用ユーザをアクティブディレクトリ上に作成することは可能でしょうか。 他のメンバーサーバ上で稼動するアプリケーション環境に対して、 その環境をいじくらせないようにするためです。 (所属するグループをAdministratorsのみにしてDomain Adminsグループに所属させない等) やはり、この場合は、そのメンバーサーバ内のローカルユーザ"Administrator"と同等の 権限を持った作業用ユーザを作成することになるのでしょうか? 以上、ご教示のほど、なにとぞ、宜しくお願い申し上げます。
- ベストアンサー
- Windows系OS
- Debugger users,AdministratorsとAdministratorsの違い
先日、アドミニ権限の見分け方を教えてもらいました。 すると、Debugger users,AdministratorsとAdministratorsが出てきました。どう違うのですか? 教えてください。
- ベストアンサー
- Windows XP
- ドメインコントローラーと疎通がとれません
XPを使っています。 ADドメインに参加させたのですが、少し動きが変です。 ドメインに参加させると、ローカルのadministratorsグループに Domain Adminsが追加されると思います。そこは正常なのですが、 追加でDomain Userを追加しようとしても、ユーザの選択画面に ADドメインが表示されず、ローカルのホスト名しか表示されません。 不思議に思い、PCを再起動させたところ、先ほどまでは正常に 表示されていた、Domain AdminsがS-1-5からはじまるIDに変更されて いました。 一旦、WORKGROUPに降りて、再度ADドメインへ参加してみたのですが、 状況が変わりません。何が原因なのでしょうか? 宜しくお願い致します。
- 締切済み
- その他([技術者向] コンピューター)
- ActiveDirectoryで一般ユーザーにadministrator権限を与えるには
ActiveDirectoryで一般ユーザーにadministrator権限を与えるには、 いくつか方法があると思いますが、どれが一番良いのでしょうか? ・グループポリシーの制限されたグループに、administratorsを追加してその中に一般ユーザーを含める。 ・ActiveDirectoryのユーザーとコンピュータから、一般ユーザーのグループにAdministratorsを追加する。 ・ActiveDirectoryのユーザーとコンピュータから、一般ユーザーのグループにDomain Adminsを追加する。 以上、宜しくお願いします。
- ベストアンサー
- Windows系OS
- ActiveDirectory権限について
いつもお世話になっております。 ADへドメインに参加しているグループは、 基本的に「Domain Users」・「Domain Admins」が 割り振られるものと思っております。 ドメインに参加したユーザが リモートデスクトップ等を利用し、 Active Directoryサーバにローカルログオンするためには、 「Domain Users」では権限が弱すぎることからログオンできないため、 「Domain Admins」権限が必要になります。 しかし、ローカルログオンを実施するためだけに 「Domain Admins」権限を用いるのでは余りにも強すぎます。 Domain Adminsより弱い権限で ADサーバへローカルログオンできる権限はありますでしょうか? よろしくお願いします。
- ベストアンサー
- その他([技術者向] コンピューター)
- AD 制限されたグループの設定について
Windows Server2012 にて グループポリシーで「Administrators」と「Domain Admins」に所属させたい と思っております。 下記のサイトを参考にし、 http://rtaki.sakura.ne.jp/infra/?p=915 「制限されたグループ」に「Administrators」と「Domain Admins」を追加しました。 その後、上記グループに追加した内容が反映されておりませんでした。 【操作】 (1)グループポリシーの管理にて、OUにリンクされているポリシーを編集 (2)グループポリシー管理エディタにて、[制限されたグループ]を選択 (3)右クリック→グループの追加をし、「Administrators」を指定する (4)このグループの所属に、「GP_Yakusyoku」を追加する (5)適用ボタンを押下する (6)同様に、「Domain Admins」についても(1)~(5)を実施する ※GP_Yakusyokuは、OUに配置しているメンバーが所属しているグループです。 【確認】 AdministratorsとDomain Adminsのプロパティの[メンバー]タブにて、 「GP_Yakusyoku」グループが入っておりませんでした。 gpupdateやサーバ再起動を行なっても入っておらず、 操作方法に漏れがあるのではと思っております。 反映されていない原因について、教えていただきたく思います。 以上、よろしくお願いいたします。
- 締切済み
- Windows系OS
- Administrators設定時のエラー
会社で使用するPC用にWindows2000Proを購入しました。 通常、仕事中はドメインに参加している環境にしようとしています。 その為、ドメインユーザーのアカウントにローカルのAdministrator権限を与ようと考えています。 『コントロールパネル→コンピュータの管理→システムツール→ローカルユーザーとグループ→グループ』と開いて行き、Administratorsにドメインユーザーを登録しようとしたのですが、アカウント選択後に【適用】ボタンを押すとAdministratorsの中の一覧から表示が消えてしまいます。再度同じアカウントを追加使用とすると下のようなメッセージが出ます。 『グループAdministratorsのプロパティをコンピュータ××に保存しようとしたときに次のエラーが発生しました 指定されたアカウント名は既にローカルグループのメンバです。』 一覧に載っていない為、アカウントを削除する事もできません。 原因や対処方法についてアドバイスをお願い致します。
- 締切済み
- Windows NT・2000
- DomainAdminsとAdministratorsの違い
domain環境におけるDomainAdminsとAdministratorsの違いは 何でしょうか?下記Microsoftのサイトで確認しましたが、同じに思えます。 http://technet2.microsoft.com/WindowsServer/ja/library/1631acad-ef34-4f77-9c2e-94a62f8846cf1041.mspx?mfr=true 相違点を教えて下さい。
- ベストアンサー
- その他(ITシステム運用・管理)
- windowsserver2008ファイルサーバー
windows server 2008のフォルダのアクセス権限についての質問です ドメイン環境で、ファイルサーバーを構築しています フォルダを作成して、共有タブで共有にしeveroneをフルコントロールにします セキュリテイタブの詳細設定で、不要なユーザーを削除し、administratorsと、アクセスさせる ドメインのグループのみに権限を与えると、ドメインユーザーには、適用されますが、 ワークグループのadministratorsの権限を持つ、ユーザーからは、フォルダにフルコントロールでアクセスできてしまいます administratorsのユーザーをセキュリテイタブで、拒否の設定にすると、ワークグループのadministratorsの権限を持つ、ユーザーからはアクセスできなくなります この、設定で、いいのか、もっと良い方法があれば、教えてください よろしくお願いします
- ベストアンサー
- Windows系OS
お礼
回答ありがとうございます。 大変わかりやすいです。