カテゴリ: Active Directory
Windows Server Avtive Directory~制御の委任
「制御の委任」機能を利用することによって、ユーザーアカウントの作成やパスワードのリセットなどの日常的な管理作業を、別のユーザーに任せることが出来ます。
通常はドメイン管理者が行なう作業ですが、 この機能を利用することで管理者の負担軽減につながります。
「制御の委任」はドメインやOU単位で設定します。
ドメインかOUで右クリックして、「制御の委任」を選択します。
委任ウィザードが起動します。
「次へ」をクリックします。
追加ボタンをクリックして、委任したいユーザーやグループを追加していきます。
委任したい作業を選択して、次へをクリックします。
「委任するカスタムタスクを作成する」を選択した場合は、さらに細かい作業内容を設定することが出来ます。
委任の設定が完了しました。
実際に委任されたユーザーでログインして、ユーザーとコンピューター画面を開いてみました。
委任対象外のOUでは新規作成のメニュー項目が表示されていません。
委任対象のOUでは新規作成メニューが表示されています。
ユーザーの作成も正常に行なえました。
通常はドメイン管理者が行なう作業ですが、 この機能を利用することで管理者の負担軽減につながります。
「制御の委任」はドメインやOU単位で設定します。
ドメインかOUで右クリックして、「制御の委任」を選択します。
委任ウィザードが起動します。
「次へ」をクリックします。
追加ボタンをクリックして、委任したいユーザーやグループを追加していきます。
委任したい作業を選択して、次へをクリックします。
「委任するカスタムタスクを作成する」を選択した場合は、さらに細かい作業内容を設定することが出来ます。
委任の設定が完了しました。
実際に委任されたユーザーでログインして、ユーザーとコンピューター画面を開いてみました。
委任対象外のOUでは新規作成のメニュー項目が表示されていません。
委任対象のOUでは新規作成メニューが表示されています。
ユーザーの作成も正常に行なえました。
Windows Server Active Directory~ドメインに参加させることが出来るユーザーの制限
コンピューターをドメインに参加させることが出来るユーザーはドメインで認証された全てのユーザーです。
(ただし、10回までという制限はありますが・・・)
しかし、参加させることの出来るユーザーを限定することも可能です。
こうすることによって、無造作にコンピューターをドメインに参加させないようにすることが出来ます。
設定はGPOエディターでDefault Domain Controller Policyを開き、「コンピューターの構成」-「ポリシー」-「Windowsの設定」-「セキュリティの設定」-「ローカルポリシー」-「ユーザー権利の割り当て」内の「ドメインにワークステーションを追加」で行ないます。
デフォルトでは、Authenticated Usersに設定されています。
つまりドメインに認証されたユーザーです。
別のグループに変更してみます。
これで指定したグループ(+Domain Admins)に属するユーザーしか、コンピューターをドメインに追加することが出来ません。
指定したグループに属するユーザー以外でドメインに参加させようとすると、エラーメッセージが表示され参加させることができません。
イベントログにもエラーが出力されています。
指定したグループに属するユーザーでは、正常にドメインに参加させることが出来ました。
(ただし、10回までという制限はありますが・・・)
しかし、参加させることの出来るユーザーを限定することも可能です。
こうすることによって、無造作にコンピューターをドメインに参加させないようにすることが出来ます。
設定はGPOエディターでDefault Domain Controller Policyを開き、「コンピューターの構成」-「ポリシー」-「Windowsの設定」-「セキュリティの設定」-「ローカルポリシー」-「ユーザー権利の割り当て」内の「ドメインにワークステーションを追加」で行ないます。
デフォルトでは、Authenticated Usersに設定されています。
つまりドメインに認証されたユーザーです。
別のグループに変更してみます。
これで指定したグループ(+Domain Admins)に属するユーザーしか、コンピューターをドメインに追加することが出来ません。
指定したグループに属するユーザー以外でドメインに参加させようとすると、エラーメッセージが表示され参加させることができません。
イベントログにもエラーが出力されています。
指定したグループに属するユーザーでは、正常にドメインに参加させることが出来ました。
Windows Server Active Directory~コンピューターアカウントを事前に作成した場合
コンピューターアカウントを事前作成した場合、既定ではそのコンピューターアカウントをドメインに参加させることが出来るのはdomain adminに属しているユーザーアカウントです。
コンピューターアカウントを作成した際に、ユーザーまたはグループ欄が「既定:Domain Admins」となっているため、Domain Adminsのメンバーしかドメインに参加させることが出来ません。
Domain Admins以外のメンバーがドメインに参加させようとすると、上記のようなエラーメッセージが表示されます。
Domain Adminsのメンバーは正常にドメインに参加させることが出来ました。
上記設定は変更することが出来ます。
「変更」ボタンをクリックして、ドメインに参加させることが出来るユーザー、グループを指定します。
コンピュータープロパティのセキュリティを確認すると、設定したユーザーに権限が割り当てられています。
設定したユーザーで正常にドメインに参加させることが出来ました。
Domain Adminsのユーザーもドメインに参加させることは出来るようです。
コンピューターアカウントを作成した際に、ユーザーまたはグループ欄が「既定:Domain Admins」となっているため、Domain Adminsのメンバーしかドメインに参加させることが出来ません。
Domain Admins以外のメンバーがドメインに参加させようとすると、上記のようなエラーメッセージが表示されます。
Domain Adminsのメンバーは正常にドメインに参加させることが出来ました。
上記設定は変更することが出来ます。
「変更」ボタンをクリックして、ドメインに参加させることが出来るユーザー、グループを指定します。
コンピュータープロパティのセキュリティを確認すると、設定したユーザーに権限が割り当てられています。
設定したユーザーで正常にドメインに参加させることが出来ました。
Domain Adminsのユーザーもドメインに参加させることは出来るようです。
Windows Server GPO~ローカルユーザーとグループ
「制限されたグループ」では、すでに作成済みのグループのメンバーを制御することは出来ますが、新規にグループを作成することは出来ません。
しかし、GPOの「基本設定」内にある「ローカルユーザーとグループ」を利用すると、新規にグループを作成し、さらにグループのメンバーを指定することが出来ます。
今回は「ローカルユーザーとグループ」を利用して、新規にグループを作成し、作成したグループのメンバーにドメインユーザーを追加してみます。
場所は「コンピューターの構成」-「基本設定」-「コントロールパネルの設定」-「ローカルユーザーとグループ」です。
右クリックして「新規作成」-「ローカルグループ」を選択します。
新しいローカルグループのプロパティが表示されました。
こちらでは新規にローカルグループを作成するだけでなく、既存のローカルグループを編集したりも出来ます。
今回は「作成」を選択します。
グループ名を入力したら、追加ボタンを押下して、グループに追加したいメンバーを選択します。
今回はグループのメンバーにドメインユーザーを追加します。
新規のグループにドメインユーザーが追加されました。
OKボタンを押下して設定を完了します。
早速、GPOの適用されたクライアントコンピューターを見てみましょう。
test_local_groupが追加されています。
メンバーにドメインユーザーも追加されています。
しかし、GPOの「基本設定」内にある「ローカルユーザーとグループ」を利用すると、新規にグループを作成し、さらにグループのメンバーを指定することが出来ます。
今回は「ローカルユーザーとグループ」を利用して、新規にグループを作成し、作成したグループのメンバーにドメインユーザーを追加してみます。
場所は「コンピューターの構成」-「基本設定」-「コントロールパネルの設定」-「ローカルユーザーとグループ」です。
右クリックして「新規作成」-「ローカルグループ」を選択します。
新しいローカルグループのプロパティが表示されました。
こちらでは新規にローカルグループを作成するだけでなく、既存のローカルグループを編集したりも出来ます。
今回は「作成」を選択します。
グループ名を入力したら、追加ボタンを押下して、グループに追加したいメンバーを選択します。
今回はグループのメンバーにドメインユーザーを追加します。
新規のグループにドメインユーザーが追加されました。
OKボタンを押下して設定を完了します。
早速、GPOの適用されたクライアントコンピューターを見てみましょう。
test_local_groupが追加されています。
メンバーにドメインユーザーも追加されています。