- バックアップ一覧
- 差分 を表示
- 現在との差分 を表示
- ソース を表示
- Windows Server/Active Directory/クライアントPCでのユーザの管理者権限をADから制御する へ行く。
- 1 (2012-07-16 (月) 15:53:30)
- 2 (2012-07-16 (月) 23:38:56)
- 3 (2012-09-30 (日) 12:55:40)
- 4 (2012-11-05 (月) 17:35:17)
クライアントPCでのユーザの管理者権限をADから制御する
目的
あるクライアントPCを利用するユーザ群に対して、管理者権限(標準ユーザか管理者か)をActiveDirectoryサーバから一括管理したい。
方針
- (前提)当該クライアントPCを利用するユーザのアカウントは事前にADで作成しておく。
- ADでグループポリシーオブジェクトを作成し、制限されたグループの項についてAdministratosグループのメンバーを制限する。
- そのグループポリシーオブジェクトを当該クライアントPCが所属するOUに設定する。
手順
1. GPOで制限されたグループを設定する
- ドメインコントローラのサーバにログインする。
- スタートメニューから「管理ツール」→「グループポリシーの管理」を起動する。
- 左ペインのツリーから「グループポリシーオブジェクト」を右クリックして、「新規」を選び、新しいGPOを作る。
- 新しいGPOを右クリックして、編集する。
- 「コンピューターの構成」→「ポリシー」→「Windowsの設定」→「セキュリティの設定」→「制限されたグループ」を開く。
- 「グループの追加」で「Administrators」を選んでOK。
- 「このグループのメンバー」に、そのローカルPCでAdmin権限を持たせたいユーザ、を入力し、「追加」をクリックする。
2. GPOとリンクしたOUを作成する
- 「グループポリシーの管理」に戻り、ドメインを右クリックし、「新しい組織単位」を選び、適当なOU名を付ける。
- 今作ったOUを右クリックして、「既存のGPOのリンク」を選び、さっき作ったGPOを選んでOKをクリック。
3. OUに対象のローカルPCを加える
- スタートメニューから「管理ツール」→「Active Directoryユーザとコンピュータ」を起動する。
- 今作ったOUに「Computers」等から対象のローカルPCをドラッグアンドドロップする。
4.1 クライアントPCでユーザの権限を確認する
- 当該クライアントPCを再起動する。
- GPOで管理者権限を持たせたユーザでログインして、コントロールパネルからユーザアカウントの管理を開く。
- ユーザのグループにAdministratorが含まれている事を確認する。
4.1 ADサーバでユーザの権限を確認する
- 当該クライアントPCを再起動する。
- ADサーバにログインして、[管理ツール]->[グループポリシーの管理]を起動する。
- 左ペインの[グループポリシーの結果]を右クリックして、[グループポリシーの結果ウィザード]を選ぶ。
- [コンピュータの選択]で当該クライアントPCを、[ユーザ選択]で対象のユーザを選ぶ。
- ウィザードを完了させる。
- 今作ったレポートを開き、[コンピュータの構成の要素]->[グループポリシーが適用されたときのセキュリティグループメンバーシップ]を開き、内容を確認する。