ActiveDirectoryで一般ユーザーにadministrator権限を与えるには、
いくつか方法があると思いますが、どれが一番良いのでしょうか?
・グループポリシーの制限されたグループに、administratorsを追加してその中に一般ユーザーを含める。
・ActiveDirectoryのユーザーとコンピュータから、一般ユーザーのグループにAdministratorsを追加する。
・ActiveDirectoryのユーザーとコンピュータから、一般ユーザーのグループにDomain Adminsを追加する。
以上、宜しくお願いします。
No.4ベストアンサー
- 回答日時:
No2.です。
Domain Adminsはそのアクティブディレクトリに関する制御もできるようになってしまいます。つまりネットワーク構成からドメイン下のユーザ管理、下手したらサーバー構成まで変更できてしまいます。通常サーバー管理者のみ使うものだと私は考えます。
ユーザにどうしても与えるならば、ローカルadminまでとして、更に余計なトラブルを防ぐため、通常使うユーザー名と、管理者権限が必要なときに使うユーザー名を用意し、必要に応じてログオンするユーザー名を切り替える、こんな運用してもらうのがいいのではないかと思います。
ちょっと利用者側は手間かもしれませんが、常時管理者権限が必要ということはないと思いますし、意識もできますから。
返信ありがとうございます。
>Domain Admins、は通常サーバー管理者のみ使うものだと私は考えます。
わかりました。ちなみに確認なのですがドメインの「Administrators」と「Domain Admins」では前者(Administrators)の方が権限が高いですよね。
といことは、一般ユーザーのグループにAdministratorsを追加するのはもってのほかですね。
No.5
- 回答日時:
>>ローカルコンピュータのAdministratorsグループに、そのローカルコンピュータを使用し、
>>かつソフトウェアのインストールをするドメインユーザを追加する。
>これは、グループポリシーの制限されたグループに、administratorsを追加してその中にDomain Usersを含めるということですね。
ドメインのポリシーやグループを変更するのではなく、個々のローカルコンピュータの設定を個々のユーザに対して行うということです。
ドメインからするとあくまでも一般ユーザです。
乱暴な言い方をすると、ローカルコンピュータのAdministratorのパスワードをそのコンピュータを使用するユーザに管理させるのと同じことです。
どこまでユーザが信頼できるかです。
中にはとんでもないことをしでかすユーザも居ます。
自宅のネットワークにつなぐためにドメインから抜いちゃった上にAdministratorのパスワードを忘れてくれるとか。
重くなるといってアンチウィルスを止めてくれるとか。
こういうことを考えると、すべてのソフトウェアのインストールは管理者が行わないといけないのですが。
返信ありがとうございます。
>こういうことを考えると、すべてのソフトウェアのインストールは管理者が行わないといけないのですが。
手間はかかりますが、セキュリティ面を考えてもやはりこれが基本ですね。
色々なアドバイスありがとうございました。
No.3
- 回答日時:
>一般ユーザーにソフトのインストールなどを出来るようにしたいです。
ローカルコンピュータのAdministratorsグループに、そのローカルコンピュータを使用し、かつソフトウェアのインストールをするドメインユーザを追加する。
一般ユーザにDomainの権限を与えるということは、セキュリティがなくなるようなものです。
ANo.2さんの言っていることが正しいと思います。
システム管理者としては、ローカルコンピュータまでは譲れます(厳密には譲るべきではないと思いますが)が、ドメインは守らなくてはなりません。
返信ありがとうございます。
>ローカルコンピュータのAdministratorsグループに、そのローカルコンピュータを使用し、
>かつソフトウェアのインストールをするドメインユーザを追加する。
これは、グループポリシーの制限されたグループに、administratorsを追加してその中にDomain Usersを含めるということですね。
>ドメインは守らなくてはなりません。
わかりました。運用を見直します。
No.2
- 回答日時:
Domain Adminsにした場合サーバー側のアクセス、制御に対する権利が発生してきませんか?
全ユーザーにadministrator権限を与えるのはあまり一般的ではないと思います。通常は一般ユーザで運用し、インストールの必要があるときのみ一時的に管理者権限のあるユーザーIDを用意する方が安全だと思います。余計なことですが。
返信ありがとうございます。
>Domain Adminsにした場合サーバー側のアクセス、制御に対する権利が発生してきませんか?
よく分からないのですが、これは具体的に言うとどういうことですか?
もう少し詳しく教えて頂けませんか?
あと話はそれるかもしれませんが、administratorsとDomain Adminsは
何が違うのでしょうか?
>全ユーザーにadministrator権限を与えるのはあまり一般的ではないと思います。
確かにそうだとは思うのですが、客先のお偉いさんなど特定のユーザーのみadmin権限を与えてあげたいのが実際の所です。
No.1
- 回答日時:
こんばんわ。
一般ユーザのグループにadministratorsやdomain adminsを
追加しても、一般ユーザにadministrators権限は与えられな
いのではないですか?
あと、どのような使い方をしたいのかにも
よるのではと思います。
返信ありがとうございます。
やりたい事は、一般ユーザーにソフトのインストールなどを出来るようにしたいです。
そのために1、2、3をそれぞれ試した所、どれでも一般ユーザーがソフトのインストールを行うことが出来たので今回質問させて頂きました。
ちなみに、1と2、3では何が違うのでしょうか?
1では出来て2,3では出来ないことがあれば教えて頂きたいのですが。
宜しくお願いします。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
このQ&Aを見た人はこんなQ&Aも見ています
-
歩いた自慢大会
「めちゃくちゃ歩いたエピソード」を教えてください。 長時間でも長距離でも結構です。
-
フォロワー20万人のアカウントであなたのあるあるを披露してみませんか?
あなたが普段思っている「これまだ誰も言ってなかったけど共感されるだろうな」というあるあるを教えてください
-
映画のエンドロール観る派?観ない派?
映画が終わった後、すぐに席を立って帰る方もちらほら見かけます。皆さんはエンドロールの最後まで観ていきますか?
-
海外旅行から帰ってきたら、まず何を食べる?
帰国して1番食べたくなるもの、食べたくなるだろうなと思うもの、皆さんはありますか?
-
天使と悪魔選手権
悪魔がこんなささやきをしていたら、天使のあなたはなんと言って止めますか?
-
DomainAdminsとAdministratorsの違い
ネットワーク
-
AdministratorsとDomain Adminsの違い
ネットワーク
関連するカテゴリからQ&Aを探す
おすすめ情報
- ・漫画をレンタルでお得に読める!
- ・街中で見かけて「グッときた人」の思い出
- ・「一気に最後まで読んだ」本、教えて下さい!
- ・幼稚園時代「何組」でしたか?
- ・激凹みから立ち直る方法
- ・1つだけ過去を変えられるとしたら?
- ・【あるあるbot連動企画】あるあるbotに投稿したけど採用されなかったあるある募集
- ・【あるあるbot連動企画】フォロワー20万人のアカウントであなたのあるあるを披露してみませんか?
- ・映画のエンドロール観る派?観ない派?
- ・海外旅行から帰ってきたら、まず何を食べる?
- ・誕生日にもらった意外なもの
- ・天使と悪魔選手権
- ・ちょっと先の未来クイズ第2問
- ・【大喜利】【投稿~9/7】 ロボットの住む世界で流行ってる罰ゲームとは?
- ・推しミネラルウォーターはありますか?
- ・都道府県穴埋めゲーム
- ・この人頭いいなと思ったエピソード
- ・準・究極の選択
- ・ゆるやかでぃべーと タイムマシンを破壊すべきか。
- ・歩いた自慢大会
- ・許せない心理テスト
- ・字面がカッコいい英単語
- ・これ何て呼びますか Part2
- ・人生で一番思い出に残ってる靴
- ・ゆるやかでぃべーと すべての高校生はアルバイトをするべきだ。
- ・初めて自分の家と他人の家が違う、と意識した時
- ・単二電池
- ・チョコミントアイス
このQ&Aを見た人がよく見るQ&A
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
ローカルログオン?
-
Windows10でのユーザー追加にお...
-
Windows2003R2SP2 グループポ...
-
ドメイン環境でローカルアカウ...
-
ユーザーごとに異なるローカルI...
-
ADのグループの種類について
-
SAFE MODEだとログインできない...
-
コンピュータの管理の項目でロ...
-
突然pingが飛ばなくなった!
-
ActiveDirectory ユーザログイ...
-
マッキントッシュで日本語入力...
-
Telnet接続に失敗する。
-
会社の共有フォルダのIPアドレ...
-
Windowsでリモートデスクトップ...
-
530が出て、FTPアクセスできません
-
ドメインをワークグループに変...
-
PCのリモート接続状態を事前に...
-
リモート接続(Win2KSP4Pro→Win...
-
Catalyst2960のport security設...
-
ドメインにログオンしないPCか...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
ユーザーごとに異なるローカルI...
-
ドメイン環境でローカルアカウ...
-
Administrators設定時のエラー
-
タスクマネジャーは管理者によ...
-
Windows10でのユーザー追加にお...
-
ドメインの一般ユーザーにロー...
-
rsyncを使ったバックアップが上...
-
ファイル・フォルダの「共有」...
-
ローカルログオン?
-
ローカルユーザでは正常動作な...
-
PowerUsersでのユーザ追加
-
ローカル セキュリティ ポリシ...
-
SAFE MODEだとログインできない...
-
ActiveDirectoryで一般ユーザー...
-
Windows2003R2SP2 グループポ...
-
Windows11 を初期状態に戻す方...
-
ユーザマネージャーの一覧を出...
-
Windows ドメインユーザーとロ...
-
漫画喫茶のローカルフォルダに...
-
ドメインからワークグループに...
おすすめ情報