クライアントPCでのユーザの管理者権限をADから制御する

目的

あるクライアントPCを利用するユーザ群に対して、管理者権限(標準ユーザか管理者か)をActiveDirectoryサーバで一括管理したい。

方針

  • (前提)当該クライアントPCを表すコンピュータアカウント、およびそのクライアントPCを利用するユーザのユーザアカウント事前にADで作成しておく。
  • ADでグループポリシーオブジェクト(GPO)を作成し、GPO内の「制限されたグループ」の項についてAdministratosグループのメンバーを制限する。
  • そのGPOを当該クライアントPCが所属するOUに設定する。

手順

1. ADでコンピュータアカウントとユーザアカウントを作成する

  • ドメインコントローラのサーバにログインする。
  • スタートメニューから「管理ツール」→「Active Directoryユーザとコンピュータ」を起動する。
  • 左ペインのツリーから当該ドメインを右クリックして、「新規作成」→「組織単位(OU)」を選び、名前を入力し(今回はmy-guest-ou)、OKで閉じる。
  • 今作ったmy-guest-ouを右クリックして、「新規作成」→「コンピューター」を選ぶ。当該クライアントPCを表すコンピュータアカウント(今回はmy-guest-pc)を作成する。
  • 再びmy-guest-ouを右クリックして、「新規作成」→「ユーザー」を選ぶ。当該クライアントPCを利用するユーザアカウント(今回はmy-guest-user)を作成する。

2.1 GPOを作成する

  • スタートメニューから「管理ツール」→「グループポリシーの管理」を起動する。
  • 左ペインのツリーから「当該フォレスト」→「当該ドメイン」→「グループポリシーオブジェクト」を右クリックして、「新規」を選び、名前を入力し(my-guest-policy)、新しいGPOを作る。

2.2 GPOに制限されたグループを設定する

  • 今作ったmy-guest-policyを右クリックして、編集する。グループポリシー管理エディタが起動する。
  • 左ペインのツリーから「コンピューターの構成」→「ポリシー」→「Windowsの設定」→「セキュリティの設定」→「制限されたグループ」を開く。
  • 「制限されたグループ」を右クリックして「グループの追加」を選び、グループに「Administrators」を選んでOK。
  • 「 Administratorsのプロパティ」ダイアログが開くので、「このグループのメンバー」で「追加」をクリックし、そのローカルPCでAdmin権限を持たせたいユーザ(my-guest-user)を入力する。
  • OKでダイアログを閉じ、グループポリシー管理エディタを終了する。

2.3 OUとGPOをリンクする

  • グループポリシーの管理を起動する。
  • 左ペインのツリーから、先ほど作成したmy-guest-ouを右クリックして、「既存のGPOのリンク」を選び、さっき作ったGPO(my-guest-policy)を選んでOKをクリック。

3.1 クライアントPCでユーザの権限を確認する

  • 当該クライアントPCを再起動する。
  • GPOで管理者権限を持たせたユーザでログインして、コントロールパネルからユーザアカウントの管理を開く。
  • ユーザのグループにAdministratorが含まれている事を確認する。

3.2 ADサーバでユーザの権限を確認する

  • 当該クライアントPCを再起動する。
  • ADサーバにログインして、[管理ツール]->[グループポリシーの管理]を起動する。
  • 左ペインの[グループポリシーの結果]を右クリックして、[グループポリシーの結果ウィザード]を選ぶ。
  • [コンピュータの選択]で当該クライアントPCを、[ユーザ選択]で対象のユーザを選ぶ。
  • ウィザードを完了させる。
  • 今作ったレポートを開き、[コンピュータの構成の要素]->[グループポリシーが適用されたときのセキュリティグループメンバーシップ]を開き、内容を確認する。
トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS