ローカルPCのAdmin権限をADから制御する

方針

グループポリシーで制限されたグループを設定し、Administratosグループのメンバーを制限する。 そして、そのポリシーを、ローカルPCが所属するOUに設定する。

1. GPOで制限されたグループを設定する

  • ドメインコントローラのサーバにログインする。
  • スタートメニューから「管理ツール」→「グループポリシーの管理」を起動する。
  • 「グループポリシーオブジェクト」を右クリックして、「新規」を選び、新しいGPOを作る。
  • 新しいGPOを右クリックして、編集する。
  • 「コンピューターの構成」→「ポリシー」→「Windowsの設定」→「セキュリティの設定」→「制限されたグループ」を開く。
  • 「グループの追加」で「Administrators」を選んでOK。
  • 「このグループのメンバー」に、そのローカルPCでAdmin権限を持たせたいユーザ、を入力し、「追加」をクリックする。

2. GPOとリンクしたOUを作成する

  • 「グループポリシーの管理」に戻り、ドメインを右クリックし、「新しい組織単位」を選び、適当なOU名を付ける。
  • 今作ったOUを右クリックして、「既存のGPOのリンク」を選び、さっき作ったGPOを選んでOKをクリック。

3. OUに対象のローカルPCを加える

  • スタートメニューから「管理ツール」→「Active Directoryユーザとコンピュータ」を起動する。
  • 今作ったOUに「Computers」等から対象のローカルPCをドラッグアンドドロップする。

4. ローカルPCでユーザの権限を確認する

  • 対象のローカルPCを再起動して、GPOでAdmin権限を持たせたユーザ、持たせたなかったユーザでログインし、権限を確認する。 
     net user USER_TARO
トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS