Windowsドメインでの管理者ユーザについて

前へ 次へ
このQ&Aのポイント
  • Windows Server 2008 R2でドメイン環境を構成しており、複数台のメンバーサーバが所属しています。
  • 今度、アクティブディレクトリ(AD)上のAdministrator以外にも、AD上に作業用のAdmin権限を持ったユーザを作成する必要があります。
  • 他のメンバーサーバ上で稼働するアプリケーション環境に対して、その環境をいじくらせないようにするためには、メンバーサーバ単位でのAdmin権限を持った作業用ユーザを作成する必要があります。
回答を見る
  • ベストアンサー

Windows ドメインでの管理者ユーザについて

Windows Server 2008 R2でドメイン環境を構成しており、 複数台のメンバーサーバが所属しております。 そのメンバーサーバには、それぞれ個別の業務用アプリケーションが搭載されております。 今度、アクティブディレクトリ(AD)上のAdministrator(ビルドインユーザ)以外にも、 AD上に作業用のためのAdmin権限を持った作業用ユーザを作成することになりました。 そこでご教示頂きたいことがあります。 AD上のAdministrator(ビルドインユーザ)では、 所属グループがAdministrators、Domain Adminsとなっているため、 ドメイン内のどのメンバーサーバでもAdmin権限で作業が出来ることになるかと思いますが、 (1) 他のメンバーサーバではAdmin権限を利用出来ない、メンバーサーバ単位での Admin権限を持った作業用ユーザをアクティブディレクトリ上に作成することは可能でしょうか。 他のメンバーサーバ上で稼動するアプリケーション環境に対して、   その環境をいじくらせないようにするためです。 (所属するグループをAdministratorsのみにしてDomain Adminsグループに所属させない等)   やはり、この場合は、そのメンバーサーバ内のローカルユーザ"Administrator"と同等の 権限を持った作業用ユーザを作成することになるのでしょうか? 以上、ご教示のほど、なにとぞ、宜しくお願い申し上げます。

質問者が選んだベストアンサー

  • ベストアンサー
  • maesen
  • ベストアンサー率81% (646/790)
回答No.2

>今度、アクティブディレクトリ(AD)上のAdministrator(ビルドインユーザ)以外にも、 >AD上に作業用のためのAdmin権限を持った作業用ユーザを作成することになりました。 この意味がちょっとわかりません。 これだけを見ると後に書かれている内容と矛盾するので。 Active Directoryのオブジェクトを操作出来る権限という意味のAdministarator権限が必要なのか、 Active Directory上はUsers権限(Domain Users)で、ローカルコンピュータ(メンバサーバ)上ではAdministarators権限が必要なのか。 >(1) 他のメンバーサーバではAdmin権限を利用出来ない、メンバーサーバ単位でのAdmin権限を持った作業用ユーザをアクティブディレクトリ上に作成することは可能でしょうか。 前述の問いが後者であるならば、単純にActive Directory上で一般ユーザー(Domain Users)として作成したドメインユーザーを、メンバサーバのローカルAdministratorsグループに追加すればいいだけです。 >(所属するグループをAdministratorsのみにしてDomain Adminsグループに所属させない等) ドメインコントローラのAdministratorsと、メンバサーバのAdministratorsと、Domain Adminsがごちゃごちゃになっているかなと思います。

OKwave1122
質問者

お礼

maesen様 早速のご教示、心より感謝申し上げます。 maesen様のご指摘の通り、問いの内容は、後者となります。 AD上のオブジェクト操作の権限がなくても(ドメインでのAdmin権限がなくても)、 メンバーサーバ上ではAdmin権限を持っているユーザを、AD上に登録したいということになります。 質問内容の記載に不備があり、誠に申し訳ございませんでした。

その他の回答 (1)

回答No.1

AD上ではDomain Usersに所属するユーザーを作成し、そのユーザーを対象となるメンバーサーバーのAdministratorsグループに所属させるのがいいでしょう。

OKwave1122
質問者

お礼

m-take0220様 早速のご教示、心より感謝申し上げます。 自分の知識不足により、AD上のユーザを、メンバーサーバ内のローカルグループに 所属させることが出来ることを知りませんでした。 まったくの勉強不足を痛感致しました。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. OS(技術者向け)
  4. Windows系OS

関連するQ&A

  • Windowsの権限について

    Windowsの権限がややこしく困り果てています。 一般的にドメインに参加させていないPCはローカル又は、WorkGroup のPCとなり、ユーザーは自分一人で使う分には、Admninのグループに 所属させておけばよいのですが、 ドメインに参加させた場合が問題ですよね? と、いいますのは、ドメインに参加させると、いきなり、Toolなど インストールできなくなったなどということがあると思います。 これは、つまり、ドメインに参加したユーザーにはインストール権限が無い ということになると思いますが、ドメインに参加したユーザーにもインストール できる権限をあたえるには、 (1)ドメインのAdministorator権限を与える( (2)DomainAdminのグループにいれる。 (3)ローカルPCのadmin権限でPCに入り直し、ローカルadminでインストール  を行うということが考えられると思います。 (1)(2)は通常、一般のユーザーにドメインのadmin権限など与えることはしないと 思うので、却下として(3)の場合です。 この(3)(ローカルのadmin権限を与える)は、ADのサーバー上から設定できるものなのでしょうか? ADのサーバー上から、ローカルのadmin権限を与えることができない場合は、どの様にすれば よいのでしょうか? それから、 ADのサーバー側でユーザーを作成すると、作成されたユーザーは、DomainUsersグループ に所属することになると思うのですが、このDomainUsersグループというものは、どの様な権限 を持つのでしょう?自分のPCにダウンロードしてきたToolなどインストールできない権限なわけですよね?

  • ActiveDirectoryで一般ユーザーにadministrator権限を与えるには

    ActiveDirectoryで一般ユーザーにadministrator権限を与えるには、 いくつか方法があると思いますが、どれが一番良いのでしょうか? ・グループポリシーの制限されたグループに、administratorsを追加してその中に一般ユーザーを含める。 ・ActiveDirectoryのユーザーとコンピュータから、一般ユーザーのグループにAdministratorsを追加する。 ・ActiveDirectoryのユーザーとコンピュータから、一般ユーザーのグループにDomain Adminsを追加する。 以上、宜しくお願いします。

  • Windows Server 2012 R2につい

    おはようございます。 Windows Server 2012 R2について教えてください。 スキーママスタの転送をおこなうときに Schema Adminsグループに所属するメンバでログオンしてから転送作業をするのですが そのメンバとはAdministratorでもよいのでしょうか。  また、フォレスト機能レベルの変更をおこなうときに Enterprise Adminsグループに所属するメンバでログオンしてから機能レベルの変更作業を するのですが そのメンバもAdministratorでもよいのでしょうか。 低レベルなご質問ですが 教えてください。

  • ActiveDirectory権限について

    いつもお世話になっております。 ADへドメインに参加しているグループは、 基本的に「Domain Users」・「Domain Admins」が 割り振られるものと思っております。 ドメインに参加したユーザが リモートデスクトップ等を利用し、 Active Directoryサーバにローカルログオンするためには、 「Domain Users」では権限が弱すぎることからログオンできないため、 「Domain Admins」権限が必要になります。 しかし、ローカルログオンを実施するためだけに 「Domain Admins」権限を用いるのでは余りにも強すぎます。 Domain Adminsより弱い権限で ADサーバへローカルログオンできる権限はありますでしょうか? よろしくお願いします。

  • WinServer2008管理者ユーザの追加方法

    環境:Windows server 2008 x64 sp1(ADドメインで運用) 当社のポリシーでセキュリティの観点から、 アカウント名が知られているドメイン・ローカルの管理者ユーザ「Administrator」を無効にして、 同等の権限を持つユーザ「Kanrisya」(仮)を作り、運用に関してはこちらのアカウントを使用することになりました。 要はAdministratorと全く同じユーザとして使いたいわけでして、administraotrと全く同じグループに所属させているにもかかわらず、管理者権限を必要とする操作に対してadministratorでは表示されないUACユーザアカウント制御の画面が表示されます。 これを回避するにはどうしたよろしいでしょうか? (Administratorは一応残したいのでポリシーにより管理者ユーザの名前変更はしない方向です。)

  • AdministratorsとDomain Adminsの違い

    ドメイン上のAdministratorsとDomain Adminsのグループの違いをそれぞれ教えて下さい。 権限など違いがわかりません。 どのような用途でそれぞれ使いわけるのでしょうか? よろしくお願いします。

  • ローカルユーザでは正常動作なのに、ドメインユーザでは異常に動作が遅い

    困っています・・・。。  職場でWindows2003ServerStandardを使っています。  ドメイン上のIDを、ローカルのAdministratorsグループに入れて、ログインし、テキストファイル等を新規作成しようとすると、画面がフリーズしたかのように時計マークで止まってしまいます。例えば、ログイン後に画面上の何もない場所を右クリックして‘テキストドキュメント’‘フォルダ’‘ショートカット’等を選択して新規作成ができますが、選択表示のポップアップが表示される直前に時計マークのまま止まり、開くまで3,4分も掛かります。  反面、なぜかローカルAdministratorや、他のローカルユーザは、この現象にならず、通常通りの操作が可能です。 分かっている範囲での事実を箇条書きにします。 ・ドメイン上のIDは、3つ試したが、一つは、今回新規で作成したユーザ。1つは、既存のドメインアドミニストレータ権限を持つユーザ。もう一つは通常のユーザ権限を持つユーザ。3つとも今回のサーバのローカルAdministratorsグループに所属している。(がどれも上記の現象) ・ローカルユーザで試したユーザは、(ローカルの)administrator,新規作成のユーザ1つ,既存ユーザ1つ。3つのユーザとも正常動作。 ・物理ディスクの障害はない ・イベントヴューア上、疑わしき項目はない ・リモートデスクトップ等のリモート操作ではなく、ローカル利用での状況  このサーバは、仮想や、ストレージにNAS,ファイバチャネル等の特別なシステムは使っておらず、単体サーバの中でCドライブや、Eドライブ等をパーティションで分けて使っています。  対応方法について、推測でも構いませんので、よろしくお願いします。

  • Windows7のアカウント管理

    Windows7のアカウントの管理方法について質問があります。 環境 OS:Windows7 Professional 32bit ドメインサーバに参加 アカウントの種類 1:ローカルのAdministrator(通常は無効) 2:ローカルの標準ユーザー(管理者権限なし) 3:ローカルの管理者ユーザー(管理者権限あり) 4:ドメインサーバ上のアカウント ※私はドメインサーバの設定を変更する権限はありません。 1~4のアカウントそれぞれに詳細な設定をするため、グループポリシーの設定をしようと思っています。 「2」と「1、3」は必要な設定項目が違い、同じローカルグループポリシーでは設定ができないため、 複数のグループポリシーで設定を使用と思っております。 また、「4」は複数のユーザーが使用する可能性があるため、Administratorのプロファイルを Defaultユーザーのプロファイルにコピーしようと思います。 Windows7では複数のローカルグループポリシーの設定ができるようです。 「1、3」の管理者用(Administrators)のグループポリシー 「2」用の非管理者用のグループポリシー と設定して管理したいと思います。 複数のグループポリシーの設定方法(呼び出し方)は下記サイトで理解できました。 http://technet.microsoft.com/ja-jp/library/cc731758.aspx グループポリシーを各ユーザーに適用させるためには、どうすればいいのでしょうか? アカウントのユーザー権限の種類と、ローカルグループポリシーの種類とリンクしているのでしょうか? 例 管理者権限のユーザーにはAdministratorsのグループポリシーが適用、 制限ユーザーには非管理者のグループポリシーが適用されるとか。 グループポリシーの管理や、ドメイン環境の管理が初めてなので、 教えていただきたいと思います。 ここは見ておけ!のサイトとか、 これは読んでおけ!の書籍なんかも教えて頂けると助かります。

  • ローカルAminsグループにドメインAdminを自動で追加したい

    お世話になります。 現在、単一ドメイン(Win2003ActiveDirectory)にてサーバー運用しております。クライアントPCの設定が、基本的な項目を除きまちまちなのですが、管理上ドメインAdminアカウントでクライアントにリモートアクセスし、設定を確認したり等の作業を行なえるようにしたいと思っています。 そこで、全クライアントのローカルAdministratorsグループに、ドメインのAdministrator(またはドメインAdministratorsグループ)を一括設定できる方法はないでしょうか?グループポリシーを確認しましたが、それらしい項目が見当たりませんでした。なにかコマンドで設定できれば、ログオンスクリプトで流すなど可能かと思うのですが。 ちなみに各ユーザーのドメインユーザーアカウントは、各自PCのローカルAdministratorsグループに追加されています。 よろしくお願いします。

  • AD 制限されたグループの設定について

    Windows Server2012 にて グループポリシーで「Administrators」と「Domain Admins」に所属させたい と思っております。 下記のサイトを参考にし、 http://rtaki.sakura.ne.jp/infra/?p=915 「制限されたグループ」に「Administrators」と「Domain Admins」を追加しました。 その後、上記グループに追加した内容が反映されておりませんでした。 【操作】 (1)グループポリシーの管理にて、OUにリンクされているポリシーを編集 (2)グループポリシー管理エディタにて、[制限されたグループ]を選択 (3)右クリック→グループの追加をし、「Administrators」を指定する (4)このグループの所属に、「GP_Yakusyoku」を追加する (5)適用ボタンを押下する (6)同様に、「Domain Admins」についても(1)~(5)を実施する ※GP_Yakusyokuは、OUに配置しているメンバーが所属しているグループです。 【確認】 AdministratorsとDomain Adminsのプロパティの[メンバー]タブにて、 「GP_Yakusyoku」グループが入っておりませんでした。 gpupdateやサーバ再起動を行なっても入っておらず、 操作方法に漏れがあるのではと思っております。 反映されていない原因について、教えていただきたく思います。 以上、よろしくお願いいたします。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する