【先着1,000名様!】1,000円分をプレゼント!

DNSサーバとADサーバは同じ物理マシーンでまとめられて使われるのでしょうか、
それとも別々の物理マシーンに分けるものなのでしょうか。
分ける場合は
WAN->DNSサーバ->ADサーバ->ドメイン上の各PC
という感じで繋がるのでしょうか。

ご回答くださいますようお願いします。

このQ&Aに関連する最新のQ&A

A 回答 (2件)

>DNSサーバとADサーバは同じ物理マシーンでまとめられて使われるのでしょうか、


>それとも別々の物理マシーンに分けるものなのでしょうか。

私もADと書かれているのがActive Directoryという前提で書かせて頂きます。

Active Directoryを構築する場合、構築するActive Directoryの名前解決にDNSサーバが必須であるということは良いですよね。
そのため、Active Directoryドメインのゾーンを管理するDNSサーバが必要になりますが、これはドメインコントローラ(以下、DC)と同じサーバでも違うサーバでも、またWindowsでもLinuxでも条件さえそろっていれば構成は可能です。

ただ、一般的にはActive DirectoryでDNSを構築する場合、Active Directory統合ゾーンを使用するとさまざまな恩恵があるため、これを選択するケースが多いです。
このActive Directory統合ゾーンは、DC上にDNSを構築しなければならないという制約がありますので、AD統合ゾーンを使用する場合は必然的に同じサーバとなります。

>WAN->DNSサーバ->ADサーバ->ドメイン上の各PC
>という感じで繋がるのでしょうか。

ここは申し訳ありませんが、ちょっと質問の意味が理解できません。
WAN側からドメイン上の各PCへの接続がなぜ出て来るのかが不明です。
名前解決ならば、
「WAN->DNSサーバ」
ここまでですが。

Active Directoryドメインのゾーンと外向けのゾーンが同じ名前ということでしょうか?

一般的には外向きのDNSゾーンと内向きのDNSゾーン(今回の場合はADのゾーン)は別のドメイン名とした方が良いと思います。
そして、ネットワーク上の置く位置が違うと思いますので外向きと内向きはそれぞれサーバとした方が良いと思います。
つまりDC兼DNSサーバと、DNSのみのサーバとの2台構成。

同じドメイン名でも上記の構成にすることは出来ますが、少々管理がめんどくさくなります。

もう少し具体的な情報があるといいのですが。
    • good
    • 1
この回答へのお礼

返事が遅くなってすみません。No1さんとは逆に統合した場合のメリットが知ることができてとても参考になります。ありがとうございます。
>WAN->DNSサーバ->ADサーバ->ドメイン上の各PC
>という感じで繋がるのでしょうか。
すみません、これについては私の勉強不足のため混乱させてしまいますので、スルーしてくださいますようお願いします。

お礼日時:2014/03/22 12:34

ADサーバーとはアクティブディレクトリのサーバーという事でしょうか?


ネームサーバーとアクティブディレクトリのサーバーは別にした方が安全ですが、企業ではなかなか予算が…ということでしょうか。

個人的にですが、どうもWindowsのサーバーをメインのDNSにするには、いまいち信用がないというか、お客様にもご提案はできないですね。
個人的に使うなら良いのですが、そこにアクティブディレクトリを構築してクライアントPCがぶら下がると、何かあった時に仕事が止まってしまうので…
    • good
    • 0
この回答へのお礼

ご回答ありがとうございます。
すみません、ADサーバというのはアクティブディレクトリサーバのつもりで書きました。

お礼日時:2014/03/04 22:21

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人はこんなQ&Aも見ています

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

QアクティブディレクトリやDCが良く分かりません

タイトルの通りなのですが
ActiveDirectoryというのは、ユーザーアカウントを管理するもの、という認識でいいのでしょうか?
以前ちょっとだけ触れたことがあるのですがいまいち良く分かっていませんでした。
ドメインというグループのようなものを作り、そこに所属するグループ?のようなものを作り(OU?)
さらにそこに所属するユーザーアカウントを作る・・・って認識で良いでしょうか?
例えば

abc.com
  ├soumubu
  │ ├tanaka
  │ └yamada
  └jinjibu
     ├satou
     └suzuki

こんな風に、abc.comというドメインの中に、総務部と人事部のグループがあり
そこに所属している、田中さんや山田さんのアカウントがある・・・というようなイメージなのでしょうか?

また、ここでいう「ドメイン」とは、よくURLなどに表示されているwww.yahoo.co.jpといったドメインとは
全く別物なのでしょうか?
メールアドレスなどのドメインは業者から借りて使用していると聞きましたが
ActiveDirectoryで作成するドメインはURLやメアドで使用するものではなく
あくまでアカウントを管理するためのもの・・・という認識でよいのでしょうか。

ドメインコントローラーというもの、いまいちはっきりとしないのですが

>Active Directoryでは、こうした情報を扱い、ユーザーがログオンする際の認証を受け付けるコンピ>ュータのことを、ドメイン・コントローラと呼んでいる。

という説明をWebで見かけました。
ActiveDirectoryってそもそも何なのか、ソフトウェア?それともサーバが持つ機能の一つ?
どうもアカウント管理だけではなく、フォルダへのアクセス権を組織単位で設定できたりもするようですが
それ以外にもいろいろと機能があって、その一部がアカウントを管理する機能=その機能をもった
コンピュータをドメコンという、ということなのでしょうか?
というか、ActiveDirectory機能を有したコンピピューター=ドメコンではないのですか?
ドメイン管理の機能だけを別のコンピュータに持たせることができるから、このような説明なのでしょうか?


うまく疑問がまとめられず分かりにくくて申し訳ありません。
なにとぞご教授ください。

タイトルの通りなのですが
ActiveDirectoryというのは、ユーザーアカウントを管理するもの、という認識でいいのでしょうか?
以前ちょっとだけ触れたことがあるのですがいまいち良く分かっていませんでした。
ドメインというグループのようなものを作り、そこに所属するグループ?のようなものを作り(OU?)
さらにそこに所属するユーザーアカウントを作る・・・って認識で良いでしょうか?
例えば

abc.com
  ├soumubu
  │ ├tanaka
  │ └yamada
  └jinjibu
     ├satou
     └suzuki

こんな...続きを読む

Aベストアンサー

>ドメインというグループのようなものを作り、そこに所属するグループ?のようなものを作り(OU?)
>さらにそこに所属するユーザーアカウントを作る・・・って認識で良いでしょうか?

惜しい。ちょっと違う。

ドメインの中に、グループはグループ、ユーザーアカウントはユーザーアカウントで、個々に作成する。

で、グループの中に、所属メンバーのリストを作成する。

なので「所属メンバーが誰も居ないグループ」や「複数のグループに同時に所属するユーザー」などが出来る。

例えば「代表取締役社長」のアカウント「shacho_president」は、すべてのグループに所属させる事によって、特定のグループしかアクセス出来ないファイルなども、すべて閲覧可能にしたりする。

個々のグループ毎に社長アカウントが作成されている訳じゃなく、社長は一人だけ。「社長アカウント」は1個しか無い。

で、ドメインは「グループ企業体の個々の会社名」みたいなモノ。

グループ企業だと、個々の会社に社長が居るし、個々の会社に同じ名前の部署があったりする。

ユーザー名やグループ名が同じ名前であっても、ドメインが違えば、別物として扱う。

「社長!」と呼びかけた時に、A社社長とB社社長のどっちなのか区別できないと困るからね。

で、グループ企業体の全体情報を管理しているのが「ドメインコントローラ」なのですよ。

そして、ドメインコントローラは、普通、メインとサブの2台置く。

ActiveDirectory機能の中には、ログイン管理、ドメイン管理、グループ管理、アカウント管理の他、メインとサブの2台の情報の同期や、メインが死んだ時にサブをメインに昇格させる機能とか、色々な物を含む。

>ドメインというグループのようなものを作り、そこに所属するグループ?のようなものを作り(OU?)
>さらにそこに所属するユーザーアカウントを作る・・・って認識で良いでしょうか?

惜しい。ちょっと違う。

ドメインの中に、グループはグループ、ユーザーアカウントはユーザーアカウントで、個々に作成する。

で、グループの中に、所属メンバーのリストを作成する。

なので「所属メンバーが誰も居ないグループ」や「複数のグループに同時に所属するユーザー」などが出来る。

例えば「代表取締役社長」のア...続きを読む

QIP-VPNとインターネットVPNの違い

就職活動をしている大学生です。
セキュリティとネットワークに興味があり、そこから自分が何をやりたいのか突き詰めて行った結果VPNを提供している企業が浮かび上がって来ました、業界研究をしている際に疑問が出てきました。

IP-VPNとインターネットVPNの違いの違いがいまいちわかりません。

インターネットVPNはインターネット上を介したVPN、IPは事業者のネットワーク内のVPNって解釈でよいのですかね??

そうなるとプライベート回線を引くのとIP-VPNの違いは???

提供している事業者の違い、VPNに関すること、VPNの今後&求められるもの等、教えてください。

よろしくお願いします。

Aベストアンサー

こんちは。hirasakuです。

簡単に言うと
インターネットVPNはその名の通り、インターネット網を利用した拠点間をあたかもLANのように使うためのWAN構築です。
基本的にVPN接続するためのルータの設定(トンネリングや暗号化・認証など)はユーザーが設定し、運用管理もユーザーが行います。
インターネット網なので通信に対する保障がありませんので、VPNに通すデータを検討しなければならない場合もあります。
一番安価に構築できランニングコストが抑えられます。

IP-VPNは通信事業者の閉域IPネットワーク網を通信経路として用い、自社専用ネットワークであるかのようなWANを構築できるサービスのことです。
通信事業者側で用意している網は品質を保証してあり、ユーザー側はIP-VPN網に接続するだけで、セキュアな通信ができ、インターネットVPN同様LANのように使えます。

プライベート回線とは専用線やフレームリレー網などのことを言っているのですかね?
専用線は料金が距離に比例し、拠点間の距離が離れるほどコストが大きくなり、セルリレー/フレームリレーは、フルメッシュ型接続ですけど、柔軟なネットワーク構築が難しいという問題があります。専用線・フレームリレーなどは回線帯域の割にはコストが高いので、インターネットVPNやIP-VPNでコストを安くしてネットワークを構築するようになってきてます。

インターネットVPNやIP-VPNはプロトコルにIPを使わなくてはならないので、データはIPに乗せる必要があります。
そこで、広域イーサネットというサービスを各通信事業者が行っています。広域イーサネットはプロトコルをIP以外(IPXやSNAなど)を通すことができ、またイーサなので、WAN側に接続するのに極端な話、スイッチでつなげられますので、今までのようにルータの設定などいらなくなります。(VLAN構成にするならスイッチの設定が必要ですけけど)また、QoSなどデータの優先制御や帯域制御などもできますので、VoIPなどにも使えますね。
ということで、簡単に拠点間のLAN構築が可能になります。

提供しているサービスの違いは、どこも似たり寄ったりかなって思いますけど。
サービス提供エリアや、構築にあったオプションサービスなどで選べばいいのでは。

こんちは。hirasakuです。

簡単に言うと
インターネットVPNはその名の通り、インターネット網を利用した拠点間をあたかもLANのように使うためのWAN構築です。
基本的にVPN接続するためのルータの設定(トンネリングや暗号化・認証など)はユーザーが設定し、運用管理もユーザーが行います。
インターネット網なので通信に対する保障がありませんので、VPNに通すデータを検討しなければならない場合もあります。
一番安価に構築できランニングコストが抑えられます。

IP-VPNは通信事業者の閉域IPネットワ...続きを読む

QIPアドレスのセグメント

とは、どのような事を意味しているのでしょうか?
宜しくお願い致します。

Aベストアンサー

多分ネットワークセグメントのことをおっしゃってるのでは?一言で言うとセグメントはグループのことです。
IPアドレス 192.168.10.1
サブネットマスク 255.255.225.0
のPCなら
192.168.10の部分をネットワークアドレス
1の部分をホストアドレス
と呼びます。
同じセグメントのPCとは同じネットワークアドレスを持ったPCということで、例えば
192.168.10.1と192.168.10.25は同一セグメントのPCといえます。また、
192.168.11.1のアドレスをもったPCは別セグメントのPCとなります。
セグメントを分割するのは一般的にはルータというネットワーク機器で分割します。なぜ、セグメントを分割しなければいけないかは、ブロードキャストの問題、台数の制限、管理のしやすさ等さまざまな理由があります。

Qpingでポートの指定

pingでIPアドレスを指定して、通信できるかどうかというのは
よく使いますが、pingでポートを指定して応答するかどうかは調べられるのでしょうか?

よろしくお願いします

Aベストアンサー

pingを含むICMPというプロトコルは、OSIの7レイヤで言うところのL2(同一セグメント内通信)とL3(IPルーティングされた通信)の両方にまたがる、ちょっと珍しいプロトコルです。

IPアドレスは指定できますが、別サブネットに属するIPアドレスに到達できればL3通信、できなければゲートウェイと呼ばれる同一サブネットに属する中継装置からの回答を得るという点でL2(MAC通信ではなく、同一セグメント内通信という意味)通信です。

ポート番号はL4で使用されるアドレスですから、L4機能の疎通確認はping(を含むICMP)ではできません。

FTPの疎通確認であれば、クライアントからサーバに対するTCP/21通信(FTP-CMD)が可能であること(サーバからクライアントへのTCP/21からの応答を含む)+サーバからクライアントに対するTCP/20通信(FTP-DATA)が可能であること(クライアントからサーバへのTCP/21からの応答を含む)が必要でしょう。

監視ソフトによるものであれば、
・クライアントからサーバへのログイン(TCP/21)
・クライアントからサーバへのlsの結果(TCP/20)
で確認すればよいでしょう。

pingを含むICMPというプロトコルは、OSIの7レイヤで言うところのL2(同一セグメント内通信)とL3(IPルーティングされた通信)の両方にまたがる、ちょっと珍しいプロトコルです。

IPアドレスは指定できますが、別サブネットに属するIPアドレスに到達できればL3通信、できなければゲートウェイと呼ばれる同一サブネットに属する中継装置からの回答を得るという点でL2(MAC通信ではなく、同一セグメント内通信という意味)通信です。

ポート番号はL4で使用されるアドレスですから、L4機能の疎通確認はping(を含む...続きを読む

QWINSサーバは不要?

WINSサーバは不要?


現在、Windows Server 2008 R2がDomain ControllerのActive Directory環境が
動作しています。
複数拠点が存在し、各拠点のネットワークセグメントはわかれています。

Microsoft Windows Networkから別拠点のコンピューターを見ることが出来ない事や、
古いアプリケーションでも同じく別拠点のコンピューターを管理出来なかったりすることから
WINSサーバを立てようかと検討しています。

しかし、「WINSは過去の遺物だ」「何とかなくそうと検討している」と、
掲示板などで見かけました。

WINSサーバーは、立てない方がよいのでしょうか?

Aベストアンサー

Windows 9x/NT 等の古いOSを使用しているとか、使っているアプリケーションがWINSに依存しているとかの理由がないのであれば、建てる必要性はないと考えます。

No.1さんが指摘されているとおり使ってはいけないもの、というわけではありませんが、Windows 2000以上のOSでは名前解決の手段としてDNSを優先しているため、前述のような理由がないのであればDNSで統一した方が良いと考えます。
(所詮、後方互換性確保のためだけに用意されている機能なので…)

また、「Microsoft Windows Networkから別拠点のコンピューターを見ることが出来ない」というのはWindowsのブラウジング機能に関して昔からある問題で、WINSを使えば必ず直るというものでもありません。かなり確実性に欠けるサービスでもあり、できるだけこの機能に依存しない運用を構築することをおすすめします。

QActiveDirectoryドメインにログイン可能なネットワーク範囲について

こんにちは。

ActiveDirectory(以下AD)ドメインにログインする事が可能なネットワーク範囲について教えて下さい。

基本的に同一LAN内にいる必要がある、と思っているのですが、この「同一LAN」という定義もいまいち解っていません。

以下、質問です。

1.異なるサブネット(サブネットマスクが異なるクライアント)からADドメインに参加する事は可能でしょうか?
2.クラサバ間にFWやルータを経由する場合、クライアントがADドメインに参加する事は出来るのでしょうか?
3.ADドメインに参加するために必ず開けておかなくてはならないポート番号などはあるのでしょうか?
4.その他、ADドメインにログインするための条件がございましたら、教えて下さい。

かなり初歩的な質問だと思いますが、どうぞ、よろしくお願い致します。

Aベストアンサー

こんにちは

回答順番としては、4から1の方が説明しやすいので、順番を変えます。

4.Win9x系クライアントにはActiveDirectoryサポートツール(DSCLIENT)が必要です
Win2KSVのCDに入っています

3.ポート137から139が開いている必要があります

2.質問3のポートが開いていれば問題ありません

1.質問2のFW(ブリッジORローカルルータ)かルータを経由するか、
サーバーに複数枚LANボードを挿し各々のサブネットに対応させます

但し、サブネット越え(通常はセグメント越えといいます)の場合、LMHOSTSにDCを記述するか、
DCがDNSサーバーになる必要があります

参考文献
ドメインの検証および他の名前解決に関する問題のために LMHOSTS ファイルを記述する方法

参考URL:http://support.microsoft.com/default.aspx?scid=kb;ja;314108

QDNSサーバを設定したのですがnslookupがタイムアウトになります

よろしくお願いします。
最近,固定IPアドレス1個と自jpドメインを取得しました。
結構高かったです。泣きそうです。
しかも1個って・・・
ネットワークとブロードキャストで2個消えるので最低でも4個はもらえるのかと思ってました(汗
ドメイン名もいかした名前は売り切れ,というより意味のある単語はほとんど先客があり,苦し紛れに文字って,なんとかさまになる(??)ドメイン名を取得しました。
という前置きはさておき,今回皆さんにお聞きしたいのはDNSというかネットワークの環境についてです。
恐らくDNSの設定は正しくできていると思うのです。
というのもサーバーにログインしてnslookupコマンドをやると,ちゃんと意図したアドレスが帰ってくるからです。
でも私がメインで使ってるXP機のコマンド画面からnslookupをやると

DNS request timed out.
timeout was 2 seconds.
*** Can't find server name for address サーバーのアドレス: Timed out
*** Default servers are not available
Default Server: UnKnown
Address: サーバーのアドレス

となってしまいます。
DNSの設定の他に
ルーターの設定をいじったり
DHCPサーバーの設定をいじったりと
いろいろからかってみたのですが,未だに解決しません。

何か心当たりのある方いらっしゃいませんか。
どんな些細な事でも思い当たることがありましたら是非とも教えてください。

よろしくお願いします。
最近,固定IPアドレス1個と自jpドメインを取得しました。
結構高かったです。泣きそうです。
しかも1個って・・・
ネットワークとブロードキャストで2個消えるので最低でも4個はもらえるのかと思ってました(汗
ドメイン名もいかした名前は売り切れ,というより意味のある単語はほとんど先客があり,苦し紛れに文字って,なんとかさまになる(??)ドメイン名を取得しました。
という前置きはさておき,今回皆さんにお聞きしたいのはDNSというかネットワークの環境についてです。
恐ら...続きを読む

Aベストアンサー

 なるほど、それでは 192.168.1.130 という DNS サーバ側では引けているので、設定は問題ないという事ですね。

 そうしましたら、DNS 情報の登録はどのようになされていますでしょうか。もし .jp ドメインであれば
http://whois.jprs.jp/
こちらから情報の確認が出来ます。

 確認ポイントは[Name Server]で指定がされている DNS サーバです。ここで固定 IP アドレスを取得されたドメイン名のホスト情報を表示していますでしょうか。

 ドメイン登録業者では、一般的にそのドメイン業者の持つ DNS サーバが割り当てていますので、変更が必要になります。もし初期状態のままでしたら、DNS サーバまわりの設定(もしくは業者への申請)が適切かどうかご確認されたほうが良さそうです(お名前.comでしたらアドバイス可能です)。

Qプロキシ経由でインターネットアクセスする場合のDNSリゾルバは?

情報処理試験の問題でいまいち理解できないところがあったので教えてください。

前提
1.ファイアウォールで内部セグメント、DMZ、外部セグメントに分かれている。
2.DMZにプロキシサーバとDNSサーバがある。
3.インターネットアクセスは全てプロキシサーバ経由するよう設定された内部セグメントのPCからhttp://www.example.comへWEBアクセスをしようとした。

このとき、FQDNに対する名前解決をするリゾルバはどの装置か。
という問題で、回答はプロキシサーバとなっています。

ここが納得できないところで、私はリゾルバはDMZのDNSサーバなのではと思っています。

この場合の処理は以下のようになっていると思います。
A.プロキシサーバがwww.example.comの名前解決をDNSサーバに依頼する。
B.DNSサーバはフルサービスリゾルバとして動作しwww.example.comのIPアドレスをプロキシサーバに返す。
C.プロキシサーバはそのIPアドレスのホストにアクセスする。

プロキシサーバはスタブリゾルバである(?)から、という意味で回答がプロキシサーバと考えるのが妥当なのでしょうか。
DNSのリゾルバに関して完全に理解できていないかもしれないので間違ったことを書いているかもしれませんがよろしくお願いします。

情報処理試験の問題でいまいち理解できないところがあったので教えてください。

前提
1.ファイアウォールで内部セグメント、DMZ、外部セグメントに分かれている。
2.DMZにプロキシサーバとDNSサーバがある。
3.インターネットアクセスは全てプロキシサーバ経由するよう設定された内部セグメントのPCからhttp://www.example.comへWEBアクセスをしようとした。

このとき、FQDNに対する名前解決をするリゾルバはどの装置か。
という問題で、回答はプロキシサーバとなっています。

ここが納得でき...続きを読む

Aベストアンサー

リゾルバ ≠ DNSサービス ( or DNSサーバ )
と思いますがいかがでしょうか?

リゾルバは認識されている通り,2種類ありますよ。
 ・スタブリゾルバ
 ・フルサービスリゾルバ

でも一般的に リゾルバ = スタブリゾルバ ですね。
なのでリゾルバの定義としては,
「クライアントが名前解決をするときに利用するプログラムで,
 保持している IP-ホスト名一覧表,
 もしくは事前に定義されている DNS-Server に問合せを実行し,
 IP-Address,ホスト名を取得するもの。」
です。

http://e-words.jp/w/E383AAE382BEE383ABE38390.html
http://www.atmarkit.co.jp/fnetwork/dnstips/010.html

SOFTBANK Publishing
TCP/IP スタンダード
Page.203


ですので,
 1.クライアントからProxyサーバに「http://www.yahoo.co.jp」が送られる。
 2.ProxyサーバはDNSサーバに「www.yahoo.co.jp」の IP-Address を問い合わせる。
 3.DNSサーバはProxyサーバに「xxx.111.222.333」を返答する。
 4.Proxyサーバは「xxx.111.222.333」に「index.html」を要求する。

 2 = リゾルバ (スタブリゾルバ)
 3 = DNSサーバ(フルサービスリゾルバ)

となると思いますよ。

リゾルバ ≠ DNSサービス ( or DNSサーバ )
と思いますがいかがでしょうか?

リゾルバは認識されている通り,2種類ありますよ。
 ・スタブリゾルバ
 ・フルサービスリゾルバ

でも一般的に リゾルバ = スタブリゾルバ ですね。
なのでリゾルバの定義としては,
「クライアントが名前解決をするときに利用するプログラムで,
 保持している IP-ホスト名一覧表,
 もしくは事前に定義されている DNS-Server に問合せを実行し,
 IP-Address,ホスト名を取得するもの。」
です。

http://e-word...続きを読む

QActiveDirectoryで一般ユーザーにadministrator権限を与えるには

ActiveDirectoryで一般ユーザーにadministrator権限を与えるには、
いくつか方法があると思いますが、どれが一番良いのでしょうか?

・グループポリシーの制限されたグループに、administratorsを追加してその中に一般ユーザーを含める。
・ActiveDirectoryのユーザーとコンピュータから、一般ユーザーのグループにAdministratorsを追加する。
・ActiveDirectoryのユーザーとコンピュータから、一般ユーザーのグループにDomain Adminsを追加する。

以上、宜しくお願いします。

Aベストアンサー

No2.です。
Domain Adminsはそのアクティブディレクトリに関する制御もできるようになってしまいます。つまりネットワーク構成からドメイン下のユーザ管理、下手したらサーバー構成まで変更できてしまいます。通常サーバー管理者のみ使うものだと私は考えます。

ユーザにどうしても与えるならば、ローカルadminまでとして、更に余計なトラブルを防ぐため、通常使うユーザー名と、管理者権限が必要なときに使うユーザー名を用意し、必要に応じてログオンするユーザー名を切り替える、こんな運用してもらうのがいいのではないかと思います。
ちょっと利用者側は手間かもしれませんが、常時管理者権限が必要ということはないと思いますし、意識もできますから。

QDomainAdminsとAdministratorsの違い

domain環境におけるDomainAdminsとAdministratorsの違いは
何でしょうか?下記Microsoftのサイトで確認しましたが、同じに思えます。
http://technet2.microsoft.com/WindowsServer/ja/library/1631acad-ef34-4f77-9c2e-94a62f8846cf1041.mspx?mfr=true
相違点を教えて下さい。

Aベストアンサー

例として,次のようなWindowsPC群があるとします。
  2台のドメインコントローラ…DC1とDC2
  ワークグループ状態の4台のPC…WS1,WS2,WS3,WS4
個々のPCには,各々のPC1台だけを管理するグループとしてAdministratorsが存在します(注:DC1,DC2は複製なので合わせて1台扱いです)。
WS1~WS4をドメインに参加させると,ActiveDirectory上のDomain Adminsグループが,WS1~WS4の各Administratorsグループのメンバとして追加されます。

上記については質問者が示したWebページで説明されています。同ページの本文3行目にあるHyperLink先「既定のローカル グループ」の記述と併せて,該当箇所を抜き書きしてみました。

●(ドメインコントローラ上の)Administrators
このグループのメンバは、【ドメイン内のすべてのドメイン コントローラ】に対するフル コントロールを持ちます。

●(ドメインコントローラ上の)Domain Admins
このグループのメンバは、【ドメイン】に対するフル コントロールを持ちます。既定では、ドメイン コントローラ、ドメインのワークステーション、およびドメインのメンバ サーバーがドメインに参加したとき、このグループは、これらのすべてで Administrators グループのメンバになります。

●(ローカルコンピュータ上の)Administrators
このグループのメンバは、サーバーのフル コントロールの権限があり……このサーバーをドメインに参加させると、Domain Admins グループがこのグループに自動的に追加されます。

例として,次のようなWindowsPC群があるとします。
  2台のドメインコントローラ…DC1とDC2
  ワークグループ状態の4台のPC…WS1,WS2,WS3,WS4
個々のPCには,各々のPC1台だけを管理するグループとしてAdministratorsが存在します(注:DC1,DC2は複製なので合わせて1台扱いです)。
WS1~WS4をドメインに参加させると,ActiveDirectory上のDomain Adminsグループが,WS1~WS4の各Administratorsグループのメンバとして追加されます。

上記については質問者が示したWebページで説明されています。同ペ...続きを読む


このQ&Aを見た人がよく見るQ&A

人気Q&Aランキング