Windows Server/Active Directory/クライアントPCでのユーザの管理者権限をADから制御するの変更点

追加された行はこの色です。
削除された行はこの色です。
Windows Server/Active Directory/クライアントPCでのユーザの管理者権限をADから制御するへ行く。
Windows Server/Active Directory/クライアントPCでのユーザの管理者権限をADから制御するの差分を削除
* クライアントPCでのユーザの管理者権限をADから制御する [#nd9cfd5c]

** 目的 [#w1731049]
あるクライアントPCを利用するユーザ群に対して、管理者権限（標準ユーザか管理者か）をActiveDirectoryサーバで一括管理したい。

** 方針 [#oa8d80b4]
- 当該クライアントPCを表すコンピュータアカウント、およびそのクライアントPCを利用するユーザのユーザアカウントを事前にADで作成しておく。
- ADでグループポリシーオブジェクト（GPO）を作成し、GPO内の「制限されたグループ」の項にAdministratosグループのメンバーをそのユーザアカウントのみ設定する。 
- そのGPOを当該クライアントPCが所属するOUに設定する。

** 以下の手順によって起きる事 [#w719fedb]
- 当該クライアントPCでは指定したユーザ以外はAdministrators権限のユーザを作れなくなる。
- もしAdministrators権限でユーザを作成すると、クライアントPCのポリシーが更新されるタイミングで、そのユーザは削除される。
- Users（一般ユーザ）権限のユーザは作成する事が出来る。

** 手順 [#p4f34e12]
*** 0. ADでコンピュータアカウントとユーザアカウントを作成する [#s5e84125]
- ドメインコントローラのサーバにログインする。
- スタートメニューから「管理ツール」→「Active Directoryユーザとコンピュータ」を起動する。
- 左ペインのツリーから当該ドメインを右クリックして、「新規作成」→「組織単位（OU）」を選び、名前を入力し（今回はmy-guest-ou）、OKで閉じる。
- 今作ったmy-guest-ouを右クリックして、「新規作成」→「コンピューター」を選ぶ。当該クライアントPCを表すコンピュータアカウント（今回はmy-guest-pc）を作成する。
- 再びmy-guest-ouを右クリックして、「新規作成」→「ユーザー」を選ぶ。当該クライアントPCを利用するユーザアカウント（今回はmy-guest-user）を作成する。

*** 1. GPOを作成する [#u2c953a1]
- スタートメニューから「管理ツール」→「グループポリシーの管理」を起動する。
- 左ペインのツリーから「当該フォレスト」→「当該ドメイン」→「グループポリシーオブジェクト」を右クリックして、「新規」を選び、名前を入力し（my-guest-policy）、新しいGPOを作る。

*** 2. GPOに制限されたグループを設定する [#dd57c55f]
- 今作ったmy-guest-policyを右クリックして、編集する。グループポリシー管理エディタが起動する。
- 左ペインのツリーから「コンピューターの構成」→「ポリシー」→「Windowsの設定」→「セキュリティの設定」→「制限されたグループ」を開く。
-「制限されたグループ」を右クリックして「グループの追加」を選び、グループに「Administrators」を選んでOK。
-「 Administratorsのプロパティ」ダイアログが開くので、「このグループのメンバー」で「追加」をクリックし、そのローカルPCでAdmin権限を持たせたいユーザ（my-guest-user）を入力する。
- OKでダイアログを閉じ、グループポリシー管理エディタを終了する。

*** 3. OUとGPOをリンクする [#zb6f4ada]
- グループポリシーの管理を起動する。
- 左ペインのツリーから、先ほど作成したmy-guest-ouを右クリックして、「既存のGPOのリンク」を選び、さっき作ったGPO（my-guest-policy）を選んでOKをクリック。

** 確認 [#h4778c18]
*** 1. クライアントPCでユーザの権限を確認する [#ca711811]
- 当該クライアントPCを再起動する。
- GPOで管理者権限を持たせたユーザでログインして、コントロールパネルからユーザアカウントの管理を開く。
- ユーザのグループにAdministratorが含まれている事を確認する。

*** 2. ADサーバでユーザの権限を確認する [#oc3763bc]
- 当該クライアントPCを再起動する。
- ADサーバにログインして、[管理ツール]->[グループポリシーの管理]を起動する。
- 左ペインの[グループポリシーの結果]を右クリックして、[グループポリシーの結果ウィザード]を選ぶ。
- [コンピュータの選択]で当該クライアントPCを、[ユーザ選択]で対象のユーザを選ぶ。
- ウィザードを完了させる。
- 今作ったレポートを開き、[コンピュータの構成の要素]->[グループポリシーが適用されたときのセキュリティグループメンバーシップ]を開き、内容を確認する。

*** 3. クライアントPCにAdministrators権限のユーザを作成し、すぐに削除される事を確認する [#e6cb3bef]
- 当該クライアントPCに管理者権限のユーザでログオンして、コントロールパネルからユーザアカウントの管理を開く。
- 新しくユーザ（AD登録済み）を追加して、権限をAdministratorsにする。
- しばらく待つか、当該クライアントPCを再起動する。（あるいはコマンドプロンプトでgpupdate /forceを実行する。）
- コントロールパネルからユーザアカウントの管理を開き、先ほど追加したユーザが削除されている事を確認する。

** 参考 [#a2302744]
- http://technet.microsoft.com/ja-jp/library/cc785631(v=ws.10).aspx