• ベストアンサー

ActiveDirectoryで一般ユーザーにadministrator権限を与えるには

ActiveDirectoryで一般ユーザーにadministrator権限を与えるには、 いくつか方法があると思いますが、どれが一番良いのでしょうか? ・グループポリシーの制限されたグループに、administratorsを追加してその中に一般ユーザーを含める。 ・ActiveDirectoryのユーザーとコンピュータから、一般ユーザーのグループにAdministratorsを追加する。 ・ActiveDirectoryのユーザーとコンピュータから、一般ユーザーのグループにDomain Adminsを追加する。 以上、宜しくお願いします。

質問者が選んだベストアンサー

  • ベストアンサー
  • borg
  • ベストアンサー率56% (42/75)
回答No.4

No2.です。 Domain Adminsはそのアクティブディレクトリに関する制御もできるようになってしまいます。つまりネットワーク構成からドメイン下のユーザ管理、下手したらサーバー構成まで変更できてしまいます。通常サーバー管理者のみ使うものだと私は考えます。 ユーザにどうしても与えるならば、ローカルadminまでとして、更に余計なトラブルを防ぐため、通常使うユーザー名と、管理者権限が必要なときに使うユーザー名を用意し、必要に応じてログオンするユーザー名を切り替える、こんな運用してもらうのがいいのではないかと思います。 ちょっと利用者側は手間かもしれませんが、常時管理者権限が必要ということはないと思いますし、意識もできますから。

maechu
質問者

お礼

返信ありがとうございます。 >Domain Admins、は通常サーバー管理者のみ使うものだと私は考えます。 わかりました。ちなみに確認なのですがドメインの「Administrators」と「Domain Admins」では前者(Administrators)の方が権限が高いですよね。 といことは、一般ユーザーのグループにAdministratorsを追加するのはもってのほかですね。

その他の回答 (4)

noname#210617
noname#210617
回答No.5

>>ローカルコンピュータのAdministratorsグループに、そのローカルコンピュータを使用し、 >>かつソフトウェアのインストールをするドメインユーザを追加する。 >これは、グループポリシーの制限されたグループに、administratorsを追加してその中にDomain Usersを含めるということですね。 ドメインのポリシーやグループを変更するのではなく、個々のローカルコンピュータの設定を個々のユーザに対して行うということです。 ドメインからするとあくまでも一般ユーザです。 乱暴な言い方をすると、ローカルコンピュータのAdministratorのパスワードをそのコンピュータを使用するユーザに管理させるのと同じことです。 どこまでユーザが信頼できるかです。 中にはとんでもないことをしでかすユーザも居ます。 自宅のネットワークにつなぐためにドメインから抜いちゃった上にAdministratorのパスワードを忘れてくれるとか。 重くなるといってアンチウィルスを止めてくれるとか。 こういうことを考えると、すべてのソフトウェアのインストールは管理者が行わないといけないのですが。

maechu
質問者

お礼

返信ありがとうございます。 >こういうことを考えると、すべてのソフトウェアのインストールは管理者が行わないといけないのですが。 手間はかかりますが、セキュリティ面を考えてもやはりこれが基本ですね。 色々なアドバイスありがとうございました。

noname#210617
noname#210617
回答No.3

>一般ユーザーにソフトのインストールなどを出来るようにしたいです。 ローカルコンピュータのAdministratorsグループに、そのローカルコンピュータを使用し、かつソフトウェアのインストールをするドメインユーザを追加する。 一般ユーザにDomainの権限を与えるということは、セキュリティがなくなるようなものです。 ANo.2さんの言っていることが正しいと思います。 システム管理者としては、ローカルコンピュータまでは譲れます(厳密には譲るべきではないと思いますが)が、ドメインは守らなくてはなりません。

maechu
質問者

お礼

返信ありがとうございます。 >ローカルコンピュータのAdministratorsグループに、そのローカルコンピュータを使用し、 >かつソフトウェアのインストールをするドメインユーザを追加する。 これは、グループポリシーの制限されたグループに、administratorsを追加してその中にDomain Usersを含めるということですね。 >ドメインは守らなくてはなりません。 わかりました。運用を見直します。

  • borg
  • ベストアンサー率56% (42/75)
回答No.2

Domain Adminsにした場合サーバー側のアクセス、制御に対する権利が発生してきませんか? 全ユーザーにadministrator権限を与えるのはあまり一般的ではないと思います。通常は一般ユーザで運用し、インストールの必要があるときのみ一時的に管理者権限のあるユーザーIDを用意する方が安全だと思います。余計なことですが。

maechu
質問者

お礼

返信ありがとうございます。 >Domain Adminsにした場合サーバー側のアクセス、制御に対する権利が発生してきませんか? よく分からないのですが、これは具体的に言うとどういうことですか? もう少し詳しく教えて頂けませんか? あと話はそれるかもしれませんが、administratorsとDomain Adminsは 何が違うのでしょうか? >全ユーザーにadministrator権限を与えるのはあまり一般的ではないと思います。 確かにそうだとは思うのですが、客先のお偉いさんなど特定のユーザーのみadmin権限を与えてあげたいのが実際の所です。

  • naru2005
  • ベストアンサー率19% (8/41)
回答No.1

こんばんわ。 一般ユーザのグループにadministratorsやdomain adminsを 追加しても、一般ユーザにadministrators権限は与えられな いのではないですか? あと、どのような使い方をしたいのかにも よるのではと思います。

maechu
質問者

お礼

返信ありがとうございます。 やりたい事は、一般ユーザーにソフトのインストールなどを出来るようにしたいです。 そのために1、2、3をそれぞれ試した所、どれでも一般ユーザーがソフトのインストールを行うことが出来たので今回質問させて頂きました。 ちなみに、1と2、3では何が違うのでしょうか? 1では出来て2,3では出来ないことがあれば教えて頂きたいのですが。 宜しくお願いします。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. OS(技術者向け)
  4. Windows系OS

関連するQ&A

注目のQ&A

カテゴリ

あなたにピッタリな商品が見つかる! OKWAVE セレクト

専門家に質問してみよう

職業から探して質問する
質問する