クライアントPCでのユーザの管理者権限をADから制御する

目的

あるクライアントPCを利用するユーザ群に対して、管理者権限(標準ユーザか管理者か)をActiveDirectoryサーバから一括管理したい。

方針

  • (前提)当該クライアントPCを利用するユーザのアカウントは事前にADで作成しておく。
  • ADでグループポリシーオブジェクトを作成し、制限されたグループの項についてAdministratosグループのメンバーを制限する。
  • そのグループポリシーオブジェクトを当該クライアントPCが所属するOUに設定する。

手順

1. GPOで制限されたグループを設定する

  • ドメインコントローラのサーバにログインする。
  • スタートメニューから「管理ツール」→「グループポリシーの管理」を起動する。
  • 左ペインのツリーから「グループポリシーオブジェクト」を右クリックして、「新規」を選び、新しいGPOを作る。
  • 新しいGPOを右クリックして、編集する。
  • 「コンピューターの構成」→「ポリシー」→「Windowsの設定」→「セキュリティの設定」→「制限されたグループ」を開く。
  • 「グループの追加」で「Administrators」を選んでOK。
  • 「このグループのメンバー」に、そのローカルPCでAdmin権限を持たせたいユーザ、を入力し、「追加」をクリックする。

2. GPOとリンクしたOUを作成する

  • 「グループポリシーの管理」に戻り、ドメインを右クリックし、「新しい組織単位」を選び、適当なOU名を付ける。
  • 今作ったOUを右クリックして、「既存のGPOのリンク」を選び、さっき作ったGPOを選んでOKをクリック。

3. OUに対象のローカルPCを加える

  • スタートメニューから「管理ツール」→「Active Directoryユーザとコンピュータ」を起動する。
  • 今作ったOUに「Computers」等から対象のローカルPCをドラッグアンドドロップする。

4.1 クライアントPCでユーザの権限を確認する

  • 当該クライアントPCを再起動する。
  • GPOで管理者権限を持たせたユーザでログインして、コントロールパネルからユーザアカウントの管理を開く。
  • ユーザのグループにAdministratorが含まれている事を確認する。

4.1 ADサーバでユーザの権限を確認する

  • 当該クライアントPCを再起動する。
  • ADサーバにログインして、[管理ツール]->[グループポリシーの管理]を起動する。
  • 左ペインの[グループポリシーの結果]を右クリックして、[グループポリシーの結果ウィザード]を選ぶ。
  • [コンピュータの選択]で当該クライアントPCを、[ユーザ選択]で対象のユーザを選ぶ。
  • ウィザードを完了させる。
  • 今作ったレポートを開き、[コンピュータの構成の要素]->[グループポリシーが適用されたときのセキュリティグループメンバーシップ]を開き、内容を確認する。

トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS