オラクる。

oracle専門ブログにしてみようかな~っと

カテゴリ: Active Directory

グループポリシーを利用してコンピューターアカウントを管理する場合、アカウントを適切なOUに配置する必要があります。
ただ、コンピューターアカウントを新規に作成するたびに、手動でアカウントを適切なOUに移動するのは面倒な作業です。
しかし、redircmpを利用することで新規のアカウントが既定で配置されるOUを変更することが出来ます。

 flex_000903

既定ではコンピューターアカウントはComputers OUにアカウントが配置されます。

flex_000904
 
テスト用に新規OUを作成しておきます。

flex_000905
 
redircmpを実行して、配置場所のOUを指定します。
 
flex_000906

指定したOUにコンピューターアカウントが配置されるようになりました。 

「制御の委任」機能を利用することによって、ユーザーアカウントの作成やパスワードのリセットなどの日常的な管理作業を、別のユーザーに任せることが出来ます。
通常はドメイン管理者が行なう作業ですが、 この機能を利用することで管理者の負担軽減につながります。

 flex_000902

「制御の委任」はドメインやOU単位で設定します。
ドメインかOUで右クリックして、「制御の委任」を選択します。

flex_000897

委任ウィザードが起動します。
「次へ」をクリックします。

flex_000898
 
追加ボタンをクリックして、委任したいユーザーやグループを追加していきます。 

flex_000899
 
委任したい作業を選択して、次へをクリックします。

flex_000900

「委任するカスタムタスクを作成する」を選択した場合は、さらに細かい作業内容を設定することが出来ます。

flex_000901
 
委任の設定が完了しました。

flex_000891
 
実際に委任されたユーザーでログインして、ユーザーとコンピューター画面を開いてみました。
委任対象外のOUでは新規作成のメニュー項目が表示されていません。

flex_000892

委任対象のOUでは新規作成メニューが表示されています。

flex_000893
flex_000894
 
ユーザーの作成も正常に行なえました。 

コンピューターをドメインに参加させることが出来るユーザーはドメインで認証された全てのユーザーです。
(ただし、10回までという制限はありますが・・・)
しかし、参加させることの出来るユーザーを限定することも可能です。
こうすることによって、無造作にコンピューターをドメインに参加させないようにすることが出来ます。

flex_000886

設定はGPOエディターでDefault Domain Controller Policyを開き、「コンピューターの構成」-「ポリシー」-「Windowsの設定」-「セキュリティの設定」-「ローカルポリシー」-「ユーザー権利の割り当て」内の「ドメインにワークステーションを追加」で行ないます。

flex_000887

 デフォルトでは、Authenticated Usersに設定されています。
つまりドメインに認証されたユーザーです。

flex_000888

 flex_000889

別のグループに変更してみます。
これで指定したグループ(+Domain Admins)に属するユーザーしか、コンピューターをドメインに追加することが出来ません。

flex_000629
 
指定したグループに属するユーザー以外でドメインに参加させようとすると、エラーメッセージが表示され参加させることができません。

flex_000630
flex_000631
 
イベントログにもエラーが出力されています。

flex_000632
 
指定したグループに属するユーザーでは、正常にドメインに参加させることが出来ました。 

コンピューターアカウントを事前作成した場合、既定ではそのコンピューターアカウントをドメインに参加させることが出来るのはdomain adminに属しているユーザーアカウントです。

flex_000880
 
コンピューターアカウントを作成した際に、ユーザーまたはグループ欄が「既定:Domain Admins」となっているため、Domain Adminsのメンバーしかドメインに参加させることが出来ません。

flex_000626
 
Domain Admins以外のメンバーがドメインに参加させようとすると、上記のようなエラーメッセージが表示されます。

flex_000627
 
Domain Adminsのメンバーは正常にドメインに参加させることが出来ました。

flex_000883
 
上記設定は変更することが出来ます。
「変更」ボタンをクリックして、ドメインに参加させることが出来るユーザー、グループを指定します。

flex_000884
 
コンピュータープロパティのセキュリティを確認すると、設定したユーザーに権限が割り当てられています。

flex_000628
 
設定したユーザーで正常にドメインに参加させることが出来ました。
Domain Adminsのユーザーもドメインに参加させることは出来るようです。 

「制限されたグループ」では、すでに作成済みのグループのメンバーを制御することは出来ますが、新規にグループを作成することは出来ません。
しかし、GPOの「基本設定」内にある「ローカルユーザーとグループ」を利用すると、新規にグループを作成し、さらにグループのメンバーを指定することが出来ます。

今回は「ローカルユーザーとグループ」を利用して、新規にグループを作成し、作成したグループのメンバーにドメインユーザーを追加してみます。
 
flex_000873

場所は「コンピューターの構成」-「基本設定」-「コントロールパネルの設定」-「ローカルユーザーとグループ」です。

flex_000874

右クリックして「新規作成」-「ローカルグループ」を選択します。

flex_000875

新しいローカルグループのプロパティが表示されました。

flex_000876
 
こちらでは新規にローカルグループを作成するだけでなく、既存のローカルグループを編集したりも出来ます。
今回は「作成」を選択します。
グループ名を入力したら、追加ボタンを押下して、グループに追加したいメンバーを選択します。

flex_000877

今回はグループのメンバーにドメインユーザーを追加します。

flex_000878

 新規のグループにドメインユーザーが追加されました。
OKボタンを押下して設定を完了します。

flex_000879
 
早速、GPOの適用されたクライアントコンピューターを見てみましょう。

flex_000624
 
test_local_groupが追加されています。

flex_000625

メンバーにドメインユーザーも追加されています。 

このページのトップヘ