Windowsの権限について
- Windowsの権限についての要約文です。ドメインに参加させるとインストール権限が制限されることがあります。
- ドメインに参加したユーザーにもインストール権限を与える方法として、ローカルのadmin権限を与える方法が考えられます。
- ADのサーバー上からローカルのadmin権限を与えることができない場合は、別の方法を考える必要があります。
- ベストアンサー
Windowsの権限について
Windowsの権限がややこしく困り果てています。 一般的にドメインに参加させていないPCはローカル又は、WorkGroup のPCとなり、ユーザーは自分一人で使う分には、Admninのグループに 所属させておけばよいのですが、 ドメインに参加させた場合が問題ですよね? と、いいますのは、ドメインに参加させると、いきなり、Toolなど インストールできなくなったなどということがあると思います。 これは、つまり、ドメインに参加したユーザーにはインストール権限が無い ということになると思いますが、ドメインに参加したユーザーにもインストール できる権限をあたえるには、 (1)ドメインのAdministorator権限を与える( (2)DomainAdminのグループにいれる。 (3)ローカルPCのadmin権限でPCに入り直し、ローカルadminでインストール を行うということが考えられると思います。 (1)(2)は通常、一般のユーザーにドメインのadmin権限など与えることはしないと 思うので、却下として(3)の場合です。 この(3)(ローカルのadmin権限を与える)は、ADのサーバー上から設定できるものなのでしょうか? ADのサーバー上から、ローカルのadmin権限を与えることができない場合は、どの様にすれば よいのでしょうか? それから、 ADのサーバー側でユーザーを作成すると、作成されたユーザーは、DomainUsersグループ に所属することになると思うのですが、このDomainUsersグループというものは、どの様な権限 を持つのでしょう?自分のPCにダウンロードしてきたToolなどインストールできない権限なわけですよね?
- koro01
- お礼率2% (4/173)
- Windows系OS
- 回答数1
- ありがとう数0
- みんなの回答 (1)
- 専門家の回答
質問者が選んだベストアンサー
(1)と(2)は当然論外です。 (3)については「ローカルPCのadmin権限でPCに入り直し」なんて面倒な操作は必要ないです。 ドメイン参加操作の際に、ネットワークIDウィザードを使ってドメイン参加させることでウィザードの中で利用者のドメインユーザアカウントに対し、必要な「ローカルPCに対する権限(AdministratorsやPower Users等)」を与えられます。 Domain Usersそのものには特別な権限はなかったはずですが、Domain Usersは、ドメイン参加したPCのローカルグループである「Users」のメンバに自動的に登録されます。 これによってドメインアカウントを持つ利用者は、自分のIDでドメインに参加している全PCに一般ユーザ権限でログオンできるようになっています。 >ADのサーバー上から、ローカルのadmin権限を与えることができない場合は、どの様にすれば >よいのでしょうか? グループポリシーで適切な設定を行えば、ドメイン管理者は自端末の「コンピュータの管理」から対象PCのグループメンバをリモートで変更が可能です。 失礼ですが質問者様は、Windowsのグループや権限、Active Directory、グループポリシーなどWindowsクライアント管理に関する知識が圧倒的に不足しています。 何をどうするか決断される前にまずはWindowsクライアント管理に関する知識を身につけた方がよろしいかと。
関連するQ&A
- ActiveDirectory権限について
いつもお世話になっております。 ADへドメインに参加しているグループは、 基本的に「Domain Users」・「Domain Admins」が 割り振られるものと思っております。 ドメインに参加したユーザが リモートデスクトップ等を利用し、 Active Directoryサーバにローカルログオンするためには、 「Domain Users」では権限が弱すぎることからログオンできないため、 「Domain Admins」権限が必要になります。 しかし、ローカルログオンを実施するためだけに 「Domain Admins」権限を用いるのでは余りにも強すぎます。 Domain Adminsより弱い権限で ADサーバへローカルログオンできる権限はありますでしょうか? よろしくお願いします。
- ベストアンサー
- その他([技術者向] コンピューター)
- Active directoryユーザ権限
Active directoryのローカルコンピューターの権限について Windows2008R2でADを構築し以下の様にユーザーを作成し、ドメインにクライアントPCでログインしたのですが、 クライアントPCでソフトウゥアのインストールができません。インストール等の権限がないようです。 設定した項目(設定値) ■Server側の設定 Active directoryのコンピューターとユーザーのUsersコンテナに「山田太郎」というユーザーを作成。 以下入力値 姓:山田 名:太郎 表示名:山田 太郎 ユーザーログオン名:yamada@test.local パスワード:A123456% 所属するグループ:Domain Users(デフォルト) ■クライアントPC側設定(windows7) コンピューター名:YAMADA-PC ドメイン名:test.local ※クライアントPC上では、コントロールパネルや、[コンピューター]-[管理]から山田太郎というアカウントは 作成していません。ただ、デフォルトのコンピューター名を変更し、Admin権限で、コンピュータを ドメインに参加させただけです。 ドメインに参加できたことを確認し、(ADServerのComputersコンテナにYAMADA-PCが出現)一旦ログオフし Server上で作成した山田太郎でログイン。 ログインすると、クライアントPCのWindowsのスタートボタンを押すと「山田 太郎」と表示されている。 そして、Officeをインストールしようとすると、権限がありませんというようなメッセージが表示され、 インストールできません。 やはり、この場合は、クライアントPC側で、Admin権限で山田太郎というアカウントと作成し、山田太郎 というローカルのユーザに対しても、ローカルPC上でAdmin権限を設定するのでしょうか? サーバー上では、ローカルPCのユーザにローカルPCのadmin権限を与えることはできないのでしょうか?
- ベストアンサー
- その他(ITシステム運用・管理)
- Windows ドメインでの管理者ユーザについて
Windows Server 2008 R2でドメイン環境を構成しており、 複数台のメンバーサーバが所属しております。 そのメンバーサーバには、それぞれ個別の業務用アプリケーションが搭載されております。 今度、アクティブディレクトリ(AD)上のAdministrator(ビルドインユーザ)以外にも、 AD上に作業用のためのAdmin権限を持った作業用ユーザを作成することになりました。 そこでご教示頂きたいことがあります。 AD上のAdministrator(ビルドインユーザ)では、 所属グループがAdministrators、Domain Adminsとなっているため、 ドメイン内のどのメンバーサーバでもAdmin権限で作業が出来ることになるかと思いますが、 (1) 他のメンバーサーバではAdmin権限を利用出来ない、メンバーサーバ単位での Admin権限を持った作業用ユーザをアクティブディレクトリ上に作成することは可能でしょうか。 他のメンバーサーバ上で稼動するアプリケーション環境に対して、 その環境をいじくらせないようにするためです。 (所属するグループをAdministratorsのみにしてDomain Adminsグループに所属させない等) やはり、この場合は、そのメンバーサーバ内のローカルユーザ"Administrator"と同等の 権限を持った作業用ユーザを作成することになるのでしょうか? 以上、ご教示のほど、なにとぞ、宜しくお願い申し上げます。
- ベストアンサー
- Windows系OS
- ActiveDirectry ユーザ権限について
会社でActiveDirectryを構築しています。(Win2000Server) もちろんActiveDirectryではユーザー管理をサーバーで一括して行なっていますが、一般ユーザーはドメイン上ではDomainUser、クライアントではインストール等作業ができるようにAdmin権限が必要なのです。 これを実現するためにはどのようなグループに所属させればよいのでしょうか? サーバー側のユーザ管理のみで実現できるのでしょうか?
- ベストアンサー
- Windows NT・2000
- ドメイン環境のリモートデスクトップ権限
server2003がDC環境で、クライアントから別クライアントにリモートですくトップを試みますと、「このシステムのローカルポリシーはこのユーザーが対話的にログオンすることを許可しておりません」と表示されログオンできない管理者権限アカウントがあります。その管理者アカウントの所属グループはAdministrators/DomainUsersです。ただし、別の管理者アカウントではリモートですくトップOKです。そのアカウントの所属グループは以下です。Administrators/DomainUsers//DomainAdmins/EnterpriseAdmins /GrooupPolicyCreatorOwners/ShimaAdminsまた、このアカウントは ワークグループ時のローカルアカウントでした。リモートデスクトップされる側のクライアント(XP)のリモートタブでは許可にチェックが入っているだけです。Admin権限があるアカウントは無条件でリモートデスクトップが OKだと思っていたのですが、違うのでしょうか、また、この違いはなぜでしょうか?詳しい方がいらっしゃいましたら教えてください。
- ベストアンサー
- その他(ITシステム運用・管理)
- Domain Admin について
現在、職場のネットワークのドメインに参加しています。 使用端末はWin2000(Professional)です。 そこで、ドメインに登録すると、端末のローカルグループ[Administrator]の中に、 ドメイン名\Domain Admin というものが出来ています。 ここで質問です。 (1)このユーザはどういう契機で登録されるのでしょうか? (2)このユーザは、ローカル端末に対してどのような権限があるのでしょうか? (3)ドメインに参加するとこのユーザは必ずローカルのAdministratorグループ に登録されてしまうのでしょうか? 以上、素人な質問で申し訳ないですが、よろしくお願いします。
- ベストアンサー
- その他(インターネット・Webサービス)
- ActiveDirectory導入について
初めまして。 初めて社内にActive Directoryを導入する者です。 Active Directoryに関する本やサイトを調べていますが、情報が無かったのでお聞きします。 1.PCやファイルサーバーのローカルフォルダを共有したいのですが、どのようにすればいいのでしょうか? フォルダのプロパティで、「共有」タブが出ていないので、共有フォルダを作れません。 Domain Usersグループのユーザーでは、共有フォルダを作れないのでしょうか? 2.ファイルサーバー(DC以外)をActive Directoryに参加させるには、そのサーバー用に 新規のドメインユーザーを作ってから、参加させる必要があるのでしょうか? 例:「ABCサーバー」用に「ABC_User」というドメインユーザー(Domain Usersグループ所属)を 作る必要があるのでしょうか? 3.ドメインユーザーにローカルのAdministrator権限を与えたいですが、どのようにすればいいでしょうか? 但し、ローカルのユーザー管理でAdministratorグループにドメインユーザーを手動で追加させる 方法はしたくありません。 Active Directoryについては、全くの初心者のため、非常に初歩的な質問ではありますが、なにとぞ回答をよろしくお願いします。 【環境】 DC:Windows Server 2003 DNS:BIND9.3.0 クライアント:Windows XP/2000 以上、よろしくお願いします。
- 締切済み
- その他(ITシステム運用・管理)
- メンバーサーバーでの権限
Windows2000サーバーを勉強中です。 nwraders.msftドメインのメンバーサーバーとしてコンピュータを構成。[ドメインのユーザー名とパスワード]で[ユーザー名]に「nwraders.msft\Admin01」[パスワード]に「domain」とあるのを大文字で登録してしまいました。(大文字であることは今日判明) ユーザー名:Admin01 パスワード:DOMAIN ログオン先:nwraders 上記でログオン [ローカルエリア接続]のプロパティからTCP/IPのプロパティを参照しようとしたとろこボタンがグレーアウトし権限がないというメッセージが表示されます。管理者権限がないということみたいでシャットダウンもできません。パスワードはdomainに変更しましたが状態はかわりません。パスワードのリセットとやらをしないといけないのでしょうか。 質問内容を上手に表現できず申し訳ありません。 よろしくお願いいたします。。
- ベストアンサー
- Windows系OS
- 権限について
Oracleで質問しても回答が得られなかったので質問します。 Admin権限を持ったユーザがOracle8iのクライアントをインストールしてAdmin権限を持たないユーザに変更して動作を確認したところ正常に使用できるのですが、 Admin権限を持ったユーザがOracle9iのクライアントをインストールしてAdmin権限を持たないユーザに変更して動作を確認しようとしたところ、アイコンも表示されなくなっています。 どなたか解決方法をアドバイスお願いします。
- ベストアンサー
- Windows系OS
- Windows7のアカウント管理
Windows7のアカウントの管理方法について質問があります。 環境 OS:Windows7 Professional 32bit ドメインサーバに参加 アカウントの種類 1:ローカルのAdministrator(通常は無効) 2:ローカルの標準ユーザー(管理者権限なし) 3:ローカルの管理者ユーザー(管理者権限あり) 4:ドメインサーバ上のアカウント ※私はドメインサーバの設定を変更する権限はありません。 1~4のアカウントそれぞれに詳細な設定をするため、グループポリシーの設定をしようと思っています。 「2」と「1、3」は必要な設定項目が違い、同じローカルグループポリシーでは設定ができないため、 複数のグループポリシーで設定を使用と思っております。 また、「4」は複数のユーザーが使用する可能性があるため、Administratorのプロファイルを Defaultユーザーのプロファイルにコピーしようと思います。 Windows7では複数のローカルグループポリシーの設定ができるようです。 「1、3」の管理者用(Administrators)のグループポリシー 「2」用の非管理者用のグループポリシー と設定して管理したいと思います。 複数のグループポリシーの設定方法(呼び出し方)は下記サイトで理解できました。 http://technet.microsoft.com/ja-jp/library/cc731758.aspx グループポリシーを各ユーザーに適用させるためには、どうすればいいのでしょうか? アカウントのユーザー権限の種類と、ローカルグループポリシーの種類とリンクしているのでしょうか? 例 管理者権限のユーザーにはAdministratorsのグループポリシーが適用、 制限ユーザーには非管理者のグループポリシーが適用されるとか。 グループポリシーの管理や、ドメイン環境の管理が初めてなので、 教えていただきたいと思います。 ここは見ておけ!のサイトとか、 これは読んでおけ!の書籍なんかも教えて頂けると助かります。
- ベストアンサー
- その他(ITシステム運用・管理)
補足
>Windowsクライアント管理に関する知識を身につけた方がよろしい>かと。 確かにおっしゃる通りです。MCP用の赤本など読んでいるのですが、クライアント管理(権限)が全く分からないのです。。。 何か、分かりやすい書籍やサイトなど参考になるようなものはないでしょうか?