- 締切済み
AD 制限されたグループの設定について
Windows Server2012 にて グループポリシーで「Administrators」と「Domain Admins」に所属させたい と思っております。 下記のサイトを参考にし、 http://rtaki.sakura.ne.jp/infra/?p=915 「制限されたグループ」に「Administrators」と「Domain Admins」を追加しました。 その後、上記グループに追加した内容が反映されておりませんでした。 【操作】 (1)グループポリシーの管理にて、OUにリンクされているポリシーを編集 (2)グループポリシー管理エディタにて、[制限されたグループ]を選択 (3)右クリック→グループの追加をし、「Administrators」を指定する (4)このグループの所属に、「GP_Yakusyoku」を追加する (5)適用ボタンを押下する (6)同様に、「Domain Admins」についても(1)~(5)を実施する ※GP_Yakusyokuは、OUに配置しているメンバーが所属しているグループです。 【確認】 AdministratorsとDomain Adminsのプロパティの[メンバー]タブにて、 「GP_Yakusyoku」グループが入っておりませんでした。 gpupdateやサーバ再起動を行なっても入っておらず、 操作方法に漏れがあるのではと思っております。 反映されていない原因について、教えていただきたく思います。 以上、よろしくお願いいたします。
- tk1230-1979
- お礼率100% (1/1)
- Windows系OS
- 回答数1
- ありがとう数10
- みんなの回答 (1)
- 専門家の回答
みんなの回答
- maesen
- ベストアンサー率81% (646/790)
確認が1つ、問題点が1つと不明な点が1つあります。 まず、確認ですが「制限されたグループ」は「コンピュータの構成」に対する設定です。 すなわち、このポリシーの適用対象はコンピュータアカウントです。 対象のOUに格納されているオブジェクトがコンピュータアカウントであるか確認して下さい。 次に問題点です。 書かれている手順を実行すると、GP_YakusyokuのメンバにAdministratorsを追加することになります。 これが意味のある設定には思えないので、 やりたいことはたぶん逆ですよね。 最後に不明な点ですが、Domain AdminsとGP_Yakusyokuはどちらもドメイン上のグループですよね。 例えば、GP_YakusyokuをDomain Adminsのメンバにするのであれば、単にグループのメンバに追加すれば良いだけなので「制限されたグループ」なんて使う必要は無いはずです。 また、Domain AdminsグループはデフォルトでローカルのAdministratorsグループのメンバなのでこちらも考慮して設定を考えたほうが良いでしょう。 ただ、Domain Adminsグループはドメインに対して非常に権限の高いグループです。 一般的にはここにグループを追加して多数のユーザーに権限を与えることはやらないので、本当に必要か、もっと低い権限では出来ないか、ローカルPCへの権限だけではだめかなど再考されたほうが良いと思われます。
![その他([技術者向] コンピューター) イメージ](https://gazo.okwave.jp/okwave/spn/images/related_qa/c205_3_thumbnail_img_sm.png)
お礼
maesenさん ご連絡ありがとうございます。 ご返事が遅くなり、申し訳ございません。 >対象のOUに格納されているオブジェクトがコンピュータアカウントであるか確認して下さい。 こちらは、ユーザアカウントを格納しておりました。 コンピュータアカウントを設定して再確認を致します。 >書かれている手順を実行すると、GP_YakusyokuのメンバにAdministratorsを追加することになります。 >これが意味のある設定には思えないので、 >やりたいことはたぶん逆ですよね。 逆をしております。 Administratorsのメンバーとして、GP_Yakusyokuを追加します。 >最後に不明な点ですが、Domain AdminsとGP_Yakusyokuはどちらもドメイン上のグループですよね。 >例えば、GP_YakusyokuをDomain Adminsのメンバにするのであれば、単にグループのメンバに追加すれば良いだけなので「制限されたグループ」なんて使う必要は無いはずです。 同じドメイン上に利用しております。 今回は、Active Directoryの勉強として行なっております。 制限されたグループに追加したときの動作確認をしたいため、実施を致しました。 >ただ、Domain Adminsグループはドメインに対して非常に権限の高いグループです。 >一般的にはここにグループを追加して多数のユーザーに権限を与えることはやらないので、本当に必要か、もっと低い権限では出来ないか、ローカルPCへの権限だけではだめかなど再考されたほうが良いと思われます。 ご意見ありがとうございます。 自身でActive Directoryの管理をすることになりましたら、留意を致します。 実機でためせていない状態のため、何かありましたら再度質問をさせてください。 よろしくお願いいたします。