ActiveDirectoryで一般ユーザーにadministrator権限を与えるには

ActiveDirectoryで一般ユーザーにadministrator権限を与えるには、
いくつか方法があると思いますが、どれが一番良いのでしょうか？

・グループポリシーの制限されたグループに、administratorsを追加してその中に一般ユーザーを含める。
・ActiveDirectoryのユーザーとコンピュータから、一般ユーザーのグループにAdministratorsを追加する。
・ActiveDirectoryのユーザーとコンピュータから、一般ユーザーのグループにDomain Adminsを追加する。

以上、宜しくお願いします。

No.4 ベストアンサー 回答者： borg 回答日時： 2006/11/14 11:48

Ｎｏ２．です。

Domain Adminsはそのアクティブディレクトリに関する制御もできるようになってしまいます。つまりネットワーク構成からドメイン下のユーザ管理、下手したらサーバー構成まで変更できてしまいます。通常サーバー管理者のみ使うものだと私は考えます。

ユーザにどうしても与えるならば、ローカルadminまでとして、更に余計なトラブルを防ぐため、通常使うユーザー名と、管理者権限が必要なときに使うユーザー名を用意し、必要に応じてログオンするユーザー名を切り替える、こんな運用してもらうのがいいのではないかと思います。
ちょっと利用者側は手間かもしれませんが、常時管理者権限が必要ということはないと思いますし、意識もできますから。

この回答へのお礼

返信ありがとうございます。

>Domain Admins、は通常サーバー管理者のみ使うものだと私は考えます。
わかりました。ちなみに確認なのですがドメインの「Administrators」と「Domain Admins」では前者（Administrators）の方が権限が高いですよね。
といことは、一般ユーザーのグループにAdministratorsを追加するのはもってのほかですね。

お礼日時：2006/11/18 16:09

No.5 回答者： ohbacomeon 回答日時： 2006/11/18 21:47

>>ローカルコンピュータのAdministratorsグループに、そのローカルコンピュータを使用し、

>>かつソフトウェアのインストールをするドメインユーザを追加する。
>これは、グループポリシーの制限されたグループに、administratorsを追加してその中にDomain Usersを含めるということですね。
ドメインのポリシーやグループを変更するのではなく、個々のローカルコンピュータの設定を個々のユーザに対して行うということです。
ドメインからするとあくまでも一般ユーザです。

乱暴な言い方をすると、ローカルコンピュータのAdministratorのパスワードをそのコンピュータを使用するユーザに管理させるのと同じことです。

どこまでユーザが信頼できるかです。
中にはとんでもないことをしでかすユーザも居ます。
自宅のネットワークにつなぐためにドメインから抜いちゃった上にAdministratorのパスワードを忘れてくれるとか。
重くなるといってアンチウィルスを止めてくれるとか。
こういうことを考えると、すべてのソフトウェアのインストールは管理者が行わないといけないのですが。

この回答へのお礼

返信ありがとうございます。

>こういうことを考えると、すべてのソフトウェアのインストールは管理者が行わないといけないのですが。
手間はかかりますが、セキュリティ面を考えてもやはりこれが基本ですね。

色々なアドバイスありがとうございました。

お礼日時：2006/11/19 13:59

No.3 回答者： ohbacomeon 回答日時： 2006/11/13 09:41

＞一般ユーザーにソフトのインストールなどを出来るようにしたいです。

ローカルコンピュータのAdministratorsグループに、そのローカルコンピュータを使用し、かつソフトウェアのインストールをするドメインユーザを追加する。

一般ユーザにDomainの権限を与えるということは、セキュリティがなくなるようなものです。
ANo.2さんの言っていることが正しいと思います。
システム管理者としては、ローカルコンピュータまでは譲れます（厳密には譲るべきではないと思いますが）が、ドメインは守らなくてはなりません。

この回答へのお礼

返信ありがとうございます。

>ローカルコンピュータのAdministratorsグループに、そのローカルコンピュータを使用し、
>かつソフトウェアのインストールをするドメインユーザを追加する。
これは、グループポリシーの制限されたグループに、administratorsを追加してその中にDomain Usersを含めるということですね。

>ドメインは守らなくてはなりません。
わかりました。運用を見直します。

お礼日時：2006/11/18 16:03

No.2 回答者： borg 回答日時： 2006/11/13 08:16

Domain Adminsにした場合サーバー側のアクセス、制御に対する権利が発生してきませんか？

全ユーザーにadministrator権限を与えるのはあまり一般的ではないと思います。通常は一般ユーザで運用し、インストールの必要があるときのみ一時的に管理者権限のあるユーザーＩＤを用意する方が安全だと思います。余計なことですが。

この回答へのお礼

返信ありがとうございます。

>Domain Adminsにした場合サーバー側のアクセス、制御に対する権利が発生してきませんか？
よく分からないのですが、これは具体的に言うとどういうことですか？
もう少し詳しく教えて頂けませんか？

あと話はそれるかもしれませんが、administratorsとDomain Adminsは
何が違うのでしょうか？

>全ユーザーにadministrator権限を与えるのはあまり一般的ではないと思います。
確かにそうだとは思うのですが、客先のお偉いさんなど特定のユーザーのみadmin権限を与えてあげたいのが実際の所です。

お礼日時：2006/11/14 00:00

No.1 回答者： naru2005 回答日時： 2006/11/13 01:24

こんばんわ。

一般ユーザのグループにadministratorsやdomain adminsを
追加しても、一般ユーザにadministrators権限は与えられな
いのではないですか？

あと、どのような使い方をしたいのかにも
よるのではと思います。

この回答へのお礼

返信ありがとうございます。

やりたい事は、一般ユーザーにソフトのインストールなどを出来るようにしたいです。

そのために１、２、３をそれぞれ試した所、どれでも一般ユーザーがソフトのインストールを行うことが出来たので今回質問させて頂きました。

ちなみに、１と２、３では何が違うのでしょうか？
１では出来て２，３では出来ないことがあれば教えて頂きたいのですが。
宜しくお願いします。

お礼日時：2006/11/13 02:27