• 締切済み
  • 困ってます

グループポリシーで特定のフォルダに管理者権限付与

ネットワークドライブ上に有る、特定のフォルダ内のプログラムがUser権限で動作しないため、そのシステムを使うクライアントが、ADに参加させられません。 システムベンダーに相談したのですが、ADの事が分からず困っております。 ◎環境 基幹システムAサーバー:WindowsServer2008R2 ADサーバー:WindowsServer2008R2 クライアント:Windows7Pro 基幹システムAサーバー内の、フォルダAにプログラム各種が入っており、クライアント側でフォルダAをネットワークドライブとしてマウントしております。 そこで、フォルダA内のすべてのファイルに対してだけ、Administrator権限で動作するように設定出来ればと考えております。 あわせて、クライアントが20台近くある為、出来ればグループポリシーの設定でなんとかならないかとっ考えております。 目的としては、下記要件を達成できれば、最悪グループポリシーで一括設定にはこだわりません。 ただ、クライアントPC移動や、ユーザーの移動が考えられる為、出来ればAD側でコントロール出来れば幸いです。 ◎クライアントをADに参加させ、User権限で動作させる事。 ◎その上で、基幹システムAが動作する事。 ADの知識が乏しいため、全く分かりません。 参考になる、日本語サイトでも結構ですので、アドバイスを頂けましたら幸いです。

共感・応援の気持ちを伝えよう!

  • 回答数1
  • 閲覧数672
  • ありがとう数11

みんなの回答

  • 回答No.1

全クライアントが同じユーザーでアクセスするようになりますが、以下のような方法で実現できます。 ※各クライアントでWindows(ドメイン)へのログインはこれまで通り普通に行ってください。 1.ドメインに新しいユーザーを作成し、このユーザーの権限をすべての業務アプリが動作する権限に設定します。   ここでは、このユーザーの名前をuser、パスワードをpassと仮定してご説明します。   また、共有フォルダのあるサーバーの名前をserver.domain、フォルダAの共有ボリューム名をshare-aと仮定してご説明します。 2.共有ボリューム \\domain\SYSVOL\domain\scripts 配下に以下のバッチファイルを作成します。 ※ローカルパスはADサーバーの%systemroot%\SYSVOL\domain\scripts または %systemroot%\SYSVOL_DFSR\domain\scripts です。 [mapdrive.bat] @echo off net use \\server.domain\share-a /delete /y net use \\server.domain\share-a pass /user:domain\user /persistent:no 3.ADサーバー上で新しいグループポリシーを作成し、ユーザーポリシーのログオンスクリプトにフルパス指定で作成したバッチファイルを登録して下さい。 4.作成したグループポリシーが業務アプリを利用するすべてのユーザーに対して適用されるように設定して下さい。 (解説) Windows7はnet useコマンドによってネットワーク上の共有リソースにアクセスするときに使用するユーザーアカウントをログインしているユーザーとは異なるアカウントに設定することができます。一度設定された情報は、ネットワークインターフェースを無効にするか、ネットワーク設定を変更するか、ログオフ・再起動するか、またはnet use /deleteコマンドで登録した情報を削除しないかぎり継続して同じユーザーアカウントを利用します。 この性質を利用し、ユーザーログオン時にバッチファイルでnet useコマンドを実行し、ログオンユーザーとは異なるユーザーで共有ボリュームにアクセスするように設定することで、フォルダAにあるプログラムを実行する時だけ異なるユーザー権限で実行することが可能です。 (問題点) ユーザーがパスワードを再入力せずに利用するためにはパスワードをバッチファイルに直接書かないといけないので、セキュリティ上の懸念があります。特に利用するユーザーの権限が高いと注意が必要です。対策としてはバッチ処理と同じ内容を実行するEXEファイルなどを作成してパスワードを隠ぺいする必要があります。

共感・感謝の気持ちを伝えよう!

質問者からのお礼

komekome2014様 アドバイスありがとうございます。 いま、他の仕事に追われてますので、来週時間を作ってやってみます。 ありがとうございました。

関連するQ&A

  • NTFS権限やグループポリシーの適用状況

    よろしくお願いします。 社内でファイルサーバ(Windows2008R2)を運用していますが、 フォルダが乱立し、それぞれがどのユーザに権限が付与されているか、 全く管理が出来ていない状況です・・。 グループポリシーについても、それに近い状況です。 フォルダに適用されているNTFS権限や、グループポリシーの設定情報を リスト化、もしくはビジュアル化するツールやコマンドをご存知でしたら、 教えて頂けますでしょうか?。 状況を先ずは可視化することから、と考えております。 ツールは有償でも構いません。 お知恵を頂けると助かります。

  • サーバーの共有フォルダから・・・

    質問させてください。 現在、社内の基幹システムのプログラムをサーバに保存しています。 この基幹システムのプログラムは、社内開発をしまして、頻繁にバージョンを更新しています。 バージョンが変更される度に、クライアントはサーバの配信用に共有されたフォルダからコピーを行って、プログラムを更新しています。 現在は、各クライアントPCにスタートアップでコピーバッチを動かしてサーバからファイルのコピーをさせていますが、バッチの設定ミスや、無線LANPCで、ネットワーク確立前にバッチが走る等、コピーが完璧に行えない状態です。 こういった方法以外で、クライアントにプログラムを配信(もしくはサーバのフォルダと同期するような)出来る良い手法はありませんでしょうか?アクティブディレクトリ環境なので、グループポリシーを使ってリダイレクトも考えましたが、逆にクライアントからサーバ側が更新されてしまう可能性もあるので断念しました。

  • 移動プロファイルをグループポリシーで管理したい

    社内システムで移動プロファイルを使用しています。 今度、現在ドメインコントローラーとして稼働している2003Serverを2012Serverに移行することになりました。 それに伴い、サーバー名も変更になります。 移動プロファイルはADの各ユーザーオブジェクトで設定すると思うのですが、数が多いため、1ユーザーごとに設定を変更するのは結構な手間になってしまいます。 フォルダーリダイレクトのように、グループポリシーで一括管理する方法はないのでしょうか? 調べても、該当する情報は得られませんでした。 同じような状況は他社でも起こるのではないかと思うのですが。 詳しい方、アドバイスをいただけたら幸いです。

  • ドメイン環境でのサーバとクライアントの時刻同期

    Windows Server 2008 R2をADサーバとし、Windows7をクライアントする環境で使用しています。 で、通常、ドメイン環境ではクライアントの時刻はサーバに同期すると思うのですが、なぜかされていません。 いろいろ調べてみたのですが、いまいち分からず。 ポリシーの設定は、フォルダーのリダイレクトくらいしか設定しておらず、ユーザ権限などは一切いじっていません。 しかし、 net timeコマンドで強制的に同期させようとしましても、 ---- システム エラー 1314 が発生しました。 クライアントは要求された特権を保有していません。 ---- と表示されて同期出来ません。 どのあたりに原因がありそうか、心当たりのある方はいらっしゃいませんでしょうか。 よろしくお願いいたします。

  • 一般ユーザにローカルPCの管理者権限を与えたい

    よろしくお願いします。 Windows2003Serverにて、ActiveDirectory(単一のドメイン)でサーバー運用しております。 遠隔地にある(ドメイン参加済の)クライアントパソコン約100台に対して、 一時的にではありますが、 各クライアントパソコンのAdministratorsグループに、 そのパソコンを使用するドメインユーザを追加したい と思っています。 この場合、以下の方法が考えられると思います。 方法1)  (1)管理ツール→コンピュータの管理から、[別のコンピュータへ接続]で対象となるパソコンに接続。  (2)ローカルユーザーとグループからAdministratorsグループを選択し、    ドメインの特定のユーザーを追加。  ⇒一台ずつ行うのが面倒。  ⇒電源が入っていないと作業が出来ない。 方法2)  (1)ドメインサーバーから、新しいグループポリシーを作成。  (2)コンピュータの構成→Windowsの設定→セキュリティの設定→制限されたグループ   ここに[Admnistrator]を追加。  ⇒クライアントパソコン上の既存のAdmnistratorグループ所属メンバが全て上書きされる。 各方法は、【⇒】に書いた問題(?)がある為、採用したくありません。 そこで、 グループポリシーの[スタートアップスクリプト]あるいは[ログオンスクリプト] を利用し、自動でユーザー追加作業を行えるのかなと思ったのですが、 スクリプトをドメイン管理者の権限で実行する方法が分かりません。 何か上記を実現する方法はありますでしょうか? ※psexec、runasaといったツールは使えるのでしょうか??  使える場合、どのような方法になるのでしょうか?ヒントだけでも欲しいです。

  • P2PでSQLServerの接続が解りません…。

    当方、データベース、ネットワークについて初心者です。 困っています。教えて下さい。 WindowsXPにてホストPCにSQLServer2008R2Expressをインストール。 P2P接続のクライアントPC2台(WindowsXP)。 クライアント側からSQLserverに接続出来ない。もしくはログインを作成出来ません。 ホスト側ではサーバーを立ち上げることが出来ました。 クライアント側に固定IPアドレスを設定してログイン名(196.168.*.*\<User名>)で作成。 エラー(15401)でUserが見つかりません。で作成出来ません。 もしくはアカウントの場所を検索しても、クライアントが見つかりません。 SQLserver認証でUser作成後、 クライアント側にManagementStudioをインストールしてサーバーにSQLServer認証を試みましたが エラー(18456)が出ました。 ちなみにクライアント側からホストPCのサーバー名が確認は出来ています。 ネットワーク設定に問題があるのでしょうか? それともアプリケーション側の設定なのでしょうか? どなたかどうぞよろしくお願いします。

  • WinXPでドメインに参加時のエラーについえ

    クライアントWinXP(SP2)にて、ログインユーザーの権限をAdministrators以外にした場合、「このシステムのローカルポリシーは、このユーザーが対話的にログオンすることを許可していません。」が出力されます。 Win2KのクライアントではPowerUser等でもログオンでき、しかも最近購入したWinXP(SP2)でもログトンできました。 ドメイン(AD)のグループポリシーは特に設定しておりませんし、上記症状よりクライアント毎の設定かと考えておりますが解決できません。 お解りの方がおられましたらご教授よろしくお願いいたします。

  • Window7 どのアカウントにも管理者権限がない

    Windows7 professional(x64) にて、「管理者」権限を持つユーザーアカウントがなく、対応方法を教えていただきたく存じます。 ユーザーアカウントは3つありますが、いずれも「標準ユーザー」で、コントロールパネルの「アカウントの種類の変更」から「管理者」を選択しようとしても、「アカウントの種類の変更」のボタンが選択できません。3つのアカウントいずれも同じです。アカウント名の下には「Administrator」と表示されているのですが、標準ユーザーのようで、時刻設定などの変更ができません。新規で管理者権限を持つアカウントも作成できません。 他のQ&Aから、セーフモード(ネットワークなし)で起動し、「アカウントの種類の変更」を行っても、同じでした。ゲストアカウントはオフ、管理者権限をゲストに与えている訳でもありません。セキュリティソフトはウィルスバスターで、あとはAOS Boxのオンラインバックアップソフトと、Google, DropBox, iCloudなどがバックグラウンドで動いていますが、それらを極力閉じた後でも、状態は同じです。いずれもアップデートは最新のはずです。 システムはEpson Endeavor Pro5500, Intel core i3-4130, 3.4GHzで、メモリは16GB積んでいます。 どうぞよろしくお願い申し上げます。

  • グループポリシーで、dnsサーバーを変更したい

    地震対応でDNSサーバーの移転を計画しています。 現在のDNSサーバーと並行運用の為、グループポリシーで、優先DNSサーバーおよび、代替DNSサーバーを変更したいと思っています。 クライアントはWindows7です。 自分なりに調べてはみましたが、管理テンプレート>ネットワーク>DNSクライアント>DNSサーバーとたどりましたが、必要条件がXPのみになっていました。 Windows7での変更は可能でしょうか? 現状のGPOではクライアントユーザーにはネットワークの変更権限はありません。

  • 管理者権限のないユーザーにプリンタをインストールするには?

    お世話になります。 IT管理者ですが、あまりに人の出入りや部署移動が多く、毎回ユーザのところに行ってインストールするのに時間がとられすぎています。 プリンタくらいはユーザーでインストールしてもらいたいのですがローカルコンピュータに管理者権限を与えていない(与えてはいけない規約)のでインストールすることができない状況です。 Windows 2003 Serverでプリンターサーバーを立てた場合、それに応じたCALが必要になると思いますが、費用を掛けずにユーザー側でプリンタのインストール(追加)ができる方法を色々探していますが途方にくれています。 そこで考えたのがクライアントPC(XP)をプリンタサーバーに見立てすべてのプリンタをインストールした上で共有をかけることはライセンス上問題あるでしょうか? Microsoftから出ているサポート情報は確認済みです。 でもこちらは標準ドライバに対応しているプリンタだけ、、と思われますが間違っているでしょうか。どう試してもできませんでした。  ref)ユーザーの操作なしにWindowsXPにプリンタを追加する方法  http://support.microsoft.com/kb/314486/ja ネットワーク環境はAD構築済み、追加したいプリンタはOSの標準ドライバには入っていないものばかり。 ライセンスの問題の有無、もしくは別の方法などでもかまいません。 管理者権限のないユーザーがプリンタくらい自分たちで必要に応じてインストールできる環境を作りたいと思っています。 どうぞお知恵をお貸し下さい。宜しくお願いします。