会員登録で5000円分が当たります

にわかネットワーク・PC管理者をやっているのですが、権限の設定について教えてください。

Administrator権限を割り当てたくは無いけど、管理者にあまり負担が掛かるのもイヤ…ということで各PCにPower User権限を貼っているのですが、Power Userってかなり融通が利きますよね。プログラムのインストールも出来ますし…。
実際のところ、Administrator権限とPower User権限との明確な違いってどこなんでしょうか。IPアドレスは変更できないということくらいしか気付きませんでした…。

このQ&Aに関連する最新のQ&A

A 回答 (1件)

http://detail.chiebukuro.yahoo.co.jp/qa/question …

「ヘルプとサポートセンター」には以下のような記述があります。

>Power Users は、Administrators グループに予約されたタスクを除く、オペレーティング システムのすべてのタスクを実行できます。
>Power Users は、Administrators グループに自分自身を追加するアクセス許可を与えられていません。
>Power Users は、アクセス許可を与えられない限り、NTFS ボリュームのほかのユーザーのデータにアクセスできません。
>オペレーティング システム ファイルを変更しないプログラムのインストールまたはシステム サービスのインストール
    • good
    • 2
この回答へのお礼

リンク先の説明が平易でわかりやすかったです。
ありがとうございました。

お礼日時:2008/07/15 22:59

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人はこんなQ&Aも見ています

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

Qドメインの一般ユーザーにローカルの管理者権限を付与したい

ドメインの一般ユーザーにローカルコンピューターの管理者権限を付与する方法を教えてください。ドメイン管理者のパスワードは知っています。

Aベストアンサー

Windows XPと仮定して。
1.ローカルコンピューターにドメイン管理者のアカウントでログオン。
2.「マイコンピュータ」を右クリック⇒「管理」
3.「コンピュータの管理」画面⇒「システムツール」⇒「ローカルユーザーとグループ」⇒「グループ」
4.「Administrators」を右クリック⇒「グループに追加」
5.ドメインの特定のユーザー(あるいは、Domain Users)を追加
でできるはずです。

QActiveDirectoryで一般ユーザーにadministrator権限を与えるには

ActiveDirectoryで一般ユーザーにadministrator権限を与えるには、
いくつか方法があると思いますが、どれが一番良いのでしょうか?

・グループポリシーの制限されたグループに、administratorsを追加してその中に一般ユーザーを含める。
・ActiveDirectoryのユーザーとコンピュータから、一般ユーザーのグループにAdministratorsを追加する。
・ActiveDirectoryのユーザーとコンピュータから、一般ユーザーのグループにDomain Adminsを追加する。

以上、宜しくお願いします。

Aベストアンサー

No2.です。
Domain Adminsはそのアクティブディレクトリに関する制御もできるようになってしまいます。つまりネットワーク構成からドメイン下のユーザ管理、下手したらサーバー構成まで変更できてしまいます。通常サーバー管理者のみ使うものだと私は考えます。

ユーザにどうしても与えるならば、ローカルadminまでとして、更に余計なトラブルを防ぐため、通常使うユーザー名と、管理者権限が必要なときに使うユーザー名を用意し、必要に応じてログオンするユーザー名を切り替える、こんな運用してもらうのがいいのではないかと思います。
ちょっと利用者側は手間かもしれませんが、常時管理者権限が必要ということはないと思いますし、意識もできますから。

QAdministratorsとDomain Adminsの違い

ドメイン上のAdministratorsとDomain Adminsのグループの違いをそれぞれ教えて下さい。

権限など違いがわかりません。
どのような用途でそれぞれ使いわけるのでしょうか?

よろしくお願いします。

Aベストアンサー

<Administrators>
ローカル管理者グループ
そのマシンの管理を行う目的のグループ
そのサーバ OS に最初から用意されているグループ
AD 環境においては意味なしと言える。(と思う)

<Domain Admins>
ドメイン管理者グループ
その Domain の全てを管理する目的のグループ
Active Directory 構成にした時に用意されるグループ

Active Directory 環境上では DC の Administrator ユーザーは DC 内の Administrators にも、AD の Domain Admins にも所属しているためややこしく感じるが、Administrators は無視しても構わない。(と思う)
なぜなら Domain Admins に所属していれば自動的にローカルの Administrators にも所属しているから。
仮に個人名をつけた "admin-hoge" というユーザーを AD 上に作成し、これを Domain Admins に所属させたとしても、やはり自動的に DC 上の Administorators に所属するため、Administrators グループは意味を持たなくなる。

AD に所属するクライアント上で言えば、
クライアント ローカルの Administrators グループはそのクライアントの管理権限しか持たず、他のクライアントの管理権限は持たない。
ただし AD に所属している以上、クライアント ローカルの Administrators グループには Domain Admins グループも含まれるため、Domain Admins に含まれるユーザーはその AD に所属するすべてのクライアント上で管理権限を持つことになる。


じゃぁクライアントでも Administrators グループは無用なものなのかというとそうではない。

「個人に貸与したクライアントは、その個人にもクライアントの管理権限を与える」 というルールで運用するならば(一般従業員には推奨できるものではないが)、PC-A のローカル Administrators グループに AD 上の hoge ユーザーを加えることで、 hoge さんは PC-A の管理権限を持たせられる。(他の PC の管理権限は持たない)

AD 上の hoge ユーザーを Domain Admins に所属させれば、hoge さんは AD 上の全ての PC で管理権限を持つ。

また、PC-A のローカルに admin-hoge というユーザーを作り、それを PC-A の Administrators に所属させれば、PC-A にしかログインできない管理権限ユーザーということになる。

<Administrators>
ローカル管理者グループ
そのマシンの管理を行う目的のグループ
そのサーバ OS に最初から用意されているグループ
AD 環境においては意味なしと言える。(と思う)

<Domain Admins>
ドメイン管理者グループ
その Domain の全てを管理する目的のグループ
Active Directory 構成にした時に用意されるグループ

Active Directory 環境上では DC の Administrator ユーザーは DC 内の Administrators にも、AD の Domain Admins にも所属しているためややこしく感じるが、Administrators...続きを読む

QDomainAdminsとAdministratorsの違い

domain環境におけるDomainAdminsとAdministratorsの違いは
何でしょうか?下記Microsoftのサイトで確認しましたが、同じに思えます。
http://technet2.microsoft.com/WindowsServer/ja/library/1631acad-ef34-4f77-9c2e-94a62f8846cf1041.mspx?mfr=true
相違点を教えて下さい。

Aベストアンサー

例として,次のようなWindowsPC群があるとします。
  2台のドメインコントローラ…DC1とDC2
  ワークグループ状態の4台のPC…WS1,WS2,WS3,WS4
個々のPCには,各々のPC1台だけを管理するグループとしてAdministratorsが存在します(注:DC1,DC2は複製なので合わせて1台扱いです)。
WS1~WS4をドメインに参加させると,ActiveDirectory上のDomain Adminsグループが,WS1~WS4の各Administratorsグループのメンバとして追加されます。

上記については質問者が示したWebページで説明されています。同ページの本文3行目にあるHyperLink先「既定のローカル グループ」の記述と併せて,該当箇所を抜き書きしてみました。

●(ドメインコントローラ上の)Administrators
このグループのメンバは、【ドメイン内のすべてのドメイン コントローラ】に対するフル コントロールを持ちます。

●(ドメインコントローラ上の)Domain Admins
このグループのメンバは、【ドメイン】に対するフル コントロールを持ちます。既定では、ドメイン コントローラ、ドメインのワークステーション、およびドメインのメンバ サーバーがドメインに参加したとき、このグループは、これらのすべてで Administrators グループのメンバになります。

●(ローカルコンピュータ上の)Administrators
このグループのメンバは、サーバーのフル コントロールの権限があり……このサーバーをドメインに参加させると、Domain Admins グループがこのグループに自動的に追加されます。

例として,次のようなWindowsPC群があるとします。
  2台のドメインコントローラ…DC1とDC2
  ワークグループ状態の4台のPC…WS1,WS2,WS3,WS4
個々のPCには,各々のPC1台だけを管理するグループとしてAdministratorsが存在します(注:DC1,DC2は複製なので合わせて1台扱いです)。
WS1~WS4をドメインに参加させると,ActiveDirectory上のDomain Adminsグループが,WS1~WS4の各Administratorsグループのメンバとして追加されます。

上記については質問者が示したWebページで説明されています。同ペ...続きを読む

QDirコマンドでフォルダ内ファイルの合計サイズをだすには?(コマンドプロンプトにて)

いろいろ調べましたが不明な点があり、質問します。

WindowsのDOSプロンプトでdirコマンドを打つとフォルダ・ファイルの一覧が表示されますが、その中にファイルサイズが表示されています。
このサイズを合計できるコマンドはありませんか?
DIRコマンドのオプションを調べましたがそれらしいものが見当たりません。
具体的には
C:\xxx\配下に50個程度のファイルがあります。
その50個の合計サイズを知りたいです。
xxxフォルダの親フォルダにはアクセス不可です。

ずーっと悩んでいます。よろしくお願いします。

なお、OSはWindowsNTか2000で使用予定です。

Aベストアンサー

カレントドライブ、カレントフォルダを
C:\xxx\
にした状態で、

dir /s /a-d

/sパラメータででサブディレクトリすべてを検索
/a-dパラメータでディレクトリ以外のファイル(つまり属性に関係なくすべてのファイル

これを実行すると最後にファイルの個数とファイルサイズの合計を表示します。

もし、隠し属性のファイルは合計しないのであれば、

dir /s

だけで良いと思われます。

Qコマンドプロンプトを使ってipアドレスからコンピュータ名を知る方法

ipアドレスは分かっていますがコンピュータ名が分かりません。リモート接続ソフトなどは使えないので、それでコンピュータ名を調べることはできません。
コマンドプロンプトを使ってipアドレスからコンピュータ名を知る方法を教えてください!

Aベストアンサー

なんか回答がバラバラなので整理しましょう。
調査している自分自身が使用している端末は、Windows XPのPCであると仮定します。
また、調べるのは基本的に外部から名前解決可能な名前(No.2さんの言う"2"に相当する名前)とします。

パターン1:
対象のIPアドレスがWindows端末機で、自分が使用している端末と同じネットワークに属しているか同一のWINSサーバを参照しているとき……No.4さんの答えで検索できます。

nbtstat -A <IP Address>

パターン2:
ネットワーク管理者がDNSをきちんと管理しており、対象IPについても管理者の管理下にある場合……以下2つのいずれかの方法で検索できます。

  nslookup <IP address>

または

  nslookup -q=ptr <reverse ip>.in-addr.arpa.
  ex) 192.168.12.1 のIPを調べたい場合、以下のように入力する
  nslookup -q=ptr 1.12.168.192.in-addr.arpa.

  (DNSサーバで逆引きが設定されていないと、正しく検索できない場合があります)

パターン3:
上記以外の場合

外部から名前解決できないので、調べようがありません。または、調べてもそれが正しいホスト名である保証がありません。
そのIPの端末自体に設定されているホスト名を直接調べるしかありませんが、それには実際にそのIPの端末を操作して調べるしかありません。
つまり、No.2さんの回答となるのですが、
IPを使用しているのがWindows PCやUnixサーバなどである保証はないので、確認するコマンドはその端末の種類(OS)によって異なります。

なお、tracert (traceroute)を使用する、という回答がありますが、これはパターン1またはパターン2のいずれかまたは両方を満たしていないと表示されませんので、厳密には正しい答えとはいえません。
(たいていの場合、"tracert <IP address>" や "ping <IP address>"で用が足りてしまうことも多いので、必ずしも間違いではないのですが)

なんか回答がバラバラなので整理しましょう。
調査している自分自身が使用している端末は、Windows XPのPCであると仮定します。
また、調べるのは基本的に外部から名前解決可能な名前(No.2さんの言う"2"に相当する名前)とします。

パターン1:
対象のIPアドレスがWindows端末機で、自分が使用している端末と同じネットワークに属しているか同一のWINSサーバを参照しているとき……No.4さんの答えで検索できます。

nbtstat -A <IP Address>

パターン2:
ネットワーク管理者がDNSをきちんと管理して...続きを読む

QPowerUsersでのユーザ追加

こんにちわ
標題の件なのですが..
ローカルにユーザを追加し、そのグループはPowerUsersに所属させたい。だけど、ローカルのユーザ追加はさせたくない。ということで相談がきました。
OSはXPProです。

レジストリでHKLM\SAM\を修正すれば可能という話も聞きましたが、どこをどのように修正したらいいのかがサッパリで...

判る方教えてください。

宜しくお願いいたします。

Aベストアンサー

こんにちは。

管理ツールは使えないといけないのですか・・・。
「ファイル名を指定して実行」から、「gpedit.msc」と打ってください。
ここでいろいろなローカルポリシーを制御できます。
変更結果はMMCのスナップインとして保存されます。
(MMCから新規スナップインを追加しても同様です)

制限したいものを説明をよく読んで制御してください。
管理ツールへのアクセス制限だけだと、
lusrmgr.msc
rsop.msc
その他たくさんの抜け道があるので・・・。
ユーザーさんのスキルに合わせて制御してください・・・。
(^^ゞ

Qローカルアドミンにドメインユーザを追加する

お世話になります。

ローカルのAdministratorグループに、ドメインユーザーを自動で追加したいです。
追加の方法として、グループポリシーを使用した方法を探しています。

当方、知識に乏しい初心者ですので、
詳細な手順、若しくは手順が載っているサイトを教えて頂けますでしょうか。

みなさま、ご教示の程、よろしくお願い致します。

Aベストアンサー

ドメインユーザーのローカルのAdministratorグループへの追加はコマンドプロンプトの「NET LOCALGROUP」コマンドで可能です

NET LOCALGROUP "Administrators" "[ドメインユーザー]" /ADD

net userコマンドの使い方
http://www.atmarkit.co.jp/fwin2k/win2ktips/786netuser/netuser.html

なお、ドメインユーザーは「ユーザー名@ドメイン名」で表記しないと
ローカルユーザーとして扱われて失敗します


こちら内容でバッチファイルを作成してグループポリシーの
スタートアップスクリプトかシャットダウンスクリプトに登録しておけば
自動で登録されるようになるかとおもいます

グループ・ポリシーを使って、コンピュータの終了時にコマンドを実行する
http://www.atmarkit.co.jp/fwin2k/win2ktips/455cexec/cexec.html

Q管理者権限のないユーザーにプリンタをインストールするには?

お世話になります。

IT管理者ですが、あまりに人の出入りや部署移動が多く、毎回ユーザのところに行ってインストールするのに時間がとられすぎています。
プリンタくらいはユーザーでインストールしてもらいたいのですがローカルコンピュータに管理者権限を与えていない(与えてはいけない規約)のでインストールすることができない状況です。

Windows 2003 Serverでプリンターサーバーを立てた場合、それに応じたCALが必要になると思いますが、費用を掛けずにユーザー側でプリンタのインストール(追加)ができる方法を色々探していますが途方にくれています。

そこで考えたのがクライアントPC(XP)をプリンタサーバーに見立てすべてのプリンタをインストールした上で共有をかけることはライセンス上問題あるでしょうか?

Microsoftから出ているサポート情報は確認済みです。
でもこちらは標準ドライバに対応しているプリンタだけ、、と思われますが間違っているでしょうか。どう試してもできませんでした。

 ref)ユーザーの操作なしにWindowsXPにプリンタを追加する方法
 http://support.microsoft.com/kb/314486/ja


ネットワーク環境はAD構築済み、追加したいプリンタはOSの標準ドライバには入っていないものばかり。

ライセンスの問題の有無、もしくは別の方法などでもかまいません。
管理者権限のないユーザーがプリンタくらい自分たちで必要に応じてインストールできる環境を作りたいと思っています。
どうぞお知恵をお貸し下さい。宜しくお願いします。

お世話になります。

IT管理者ですが、あまりに人の出入りや部署移動が多く、毎回ユーザのところに行ってインストールするのに時間がとられすぎています。
プリンタくらいはユーザーでインストールしてもらいたいのですがローカルコンピュータに管理者権限を与えていない(与えてはいけない規約)のでインストールすることができない状況です。

Windows 2003 Serverでプリンターサーバーを立てた場合、それに応じたCALが必要になると思いますが、費用を掛けずにユーザー側でプリンタのインストール(追加)...続きを読む

Aベストアンサー

こんにちは
あまり、数多くの経験はありませんがわかる範囲と憶測で回答します。

▼過去にやったことがあること
(1)コンピュータの構成
(2)Windows の設定
(3)セキュリティの設定
(4)ローカル ポリシー
(5)セキュリティ オプション/デバイス:
→ ユーザーがプリンタ ドライバをインストールできないようにする
を無効に設定するでOKです。

ちなみに、XPを共有用のプリンターにするのは
Windowsのライセンス上問題ないと思いますが、プリンタードライバー
の配布ライセンスの部分は確認する必要はあるかと思います。
(厳密にやるのなら)

OSはprofessonal版を使った方が良いかもしれません。
あと、共有マシンのプリンターを追加する(インストール)
のはユーザ権限でもOKなはずです。

QWindows7 アカウントを標準から管理者へ変更

Windows7のPCにて、アカウントの種類の変更方法について質問です。

元々Aさんのアカウントが登録されており、そのアカウントが管理者(Administrator)として設定されていましたが、
自分(B)のアカウントを新たに登録し、現在はBアカウントにてPCを使用しています。
Bアカウントは現在標準ユーザーとなっているのですが、管理者(Administrator)への変更を希望です。

「コントロールパネル」→「ユーザーアカウント」→画面右部にBアカウントの情報が表示されていることを確認。
「アカウントの種類の変更」にて、標準ユーザー(S)にチェックが入っているので、管理者(A)にチェックをし、
「アカウントの種類の変更」をクリックします。
ですが、再度「アカウントの種類の変更」を開くと、標準ユーザー(S)にチェックが入った状態になっています。
Bアカウントを管理者へ変更するにはどうすればいいでしょうか?

Aベストアンサー

解決手順を回答します。

・Bアカウントをログオフ
・Aアカウントでログオン
・「コントロールパネル」→「ユーザーアカウント」→「ユーザーアカウントの管理」から、Bアカウントを選択
・「アカウントの種類の変更」にて、管理者(A)にチェックをし、「アカウントの種類の変更」をクリック
・Aアカウントをログオフ
・Bアカウントでログオン
・Bアカウントが管理者となっていることを確認。
以上で完了です。

アカウントの種類の変更は管理者のみ許可されています。
Bアカウントは管理者ではないため、管理者であるAからBを変更する必要があります。
変更できないのだったらグレーアウトしておくのが正しいUIだと思いますけどね。


このQ&Aを見た人がよく見るQ&A

人気Q&Aランキング