2014年01月
Windows Server Avtive Directory~制御の委任
「制御の委任」機能を利用することによって、ユーザーアカウントの作成やパスワードのリセットなどの日常的な管理作業を、別のユーザーに任せることが出来ます。
通常はドメイン管理者が行なう作業ですが、 この機能を利用することで管理者の負担軽減につながります。

「制御の委任」はドメインやOU単位で設定します。
ドメインかOUで右クリックして、「制御の委任」を選択します。

委任ウィザードが起動します。
「次へ」をクリックします。

追加ボタンをクリックして、委任したいユーザーやグループを追加していきます。

委任したい作業を選択して、次へをクリックします。

「委任するカスタムタスクを作成する」を選択した場合は、さらに細かい作業内容を設定することが出来ます。

委任の設定が完了しました。

実際に委任されたユーザーでログインして、ユーザーとコンピューター画面を開いてみました。
委任対象外のOUでは新規作成のメニュー項目が表示されていません。

委任対象のOUでは新規作成メニューが表示されています。


ユーザーの作成も正常に行なえました。
通常はドメイン管理者が行なう作業ですが、 この機能を利用することで管理者の負担軽減につながります。

「制御の委任」はドメインやOU単位で設定します。
ドメインかOUで右クリックして、「制御の委任」を選択します。

委任ウィザードが起動します。
「次へ」をクリックします。

追加ボタンをクリックして、委任したいユーザーやグループを追加していきます。

委任したい作業を選択して、次へをクリックします。

「委任するカスタムタスクを作成する」を選択した場合は、さらに細かい作業内容を設定することが出来ます。

委任の設定が完了しました。

実際に委任されたユーザーでログインして、ユーザーとコンピューター画面を開いてみました。
委任対象外のOUでは新規作成のメニュー項目が表示されていません。

委任対象のOUでは新規作成メニューが表示されています。


ユーザーの作成も正常に行なえました。
Windows Server Active Directory~ドメインに参加させることが出来るユーザーの制限
コンピューターをドメインに参加させることが出来るユーザーはドメインで認証された全てのユーザーです。
(ただし、10回までという制限はありますが・・・)
しかし、参加させることの出来るユーザーを限定することも可能です。
こうすることによって、無造作にコンピューターをドメインに参加させないようにすることが出来ます。

設定はGPOエディターでDefault Domain Controller Policyを開き、「コンピューターの構成」-「ポリシー」-「Windowsの設定」-「セキュリティの設定」-「ローカルポリシー」-「ユーザー権利の割り当て」内の「ドメインにワークステーションを追加」で行ないます。

デフォルトでは、Authenticated Usersに設定されています。
つまりドメインに認証されたユーザーです。


別のグループに変更してみます。
これで指定したグループ(+Domain Admins)に属するユーザーしか、コンピューターをドメインに追加することが出来ません。

指定したグループに属するユーザー以外でドメインに参加させようとすると、エラーメッセージが表示され参加させることができません。


イベントログにもエラーが出力されています。

指定したグループに属するユーザーでは、正常にドメインに参加させることが出来ました。
(ただし、10回までという制限はありますが・・・)
しかし、参加させることの出来るユーザーを限定することも可能です。
こうすることによって、無造作にコンピューターをドメインに参加させないようにすることが出来ます。

設定はGPOエディターでDefault Domain Controller Policyを開き、「コンピューターの構成」-「ポリシー」-「Windowsの設定」-「セキュリティの設定」-「ローカルポリシー」-「ユーザー権利の割り当て」内の「ドメインにワークステーションを追加」で行ないます。

デフォルトでは、Authenticated Usersに設定されています。
つまりドメインに認証されたユーザーです。


別のグループに変更してみます。
これで指定したグループ(+Domain Admins)に属するユーザーしか、コンピューターをドメインに追加することが出来ません。

指定したグループに属するユーザー以外でドメインに参加させようとすると、エラーメッセージが表示され参加させることができません。


イベントログにもエラーが出力されています。

指定したグループに属するユーザーでは、正常にドメインに参加させることが出来ました。
Windows Server Active Directory~コンピューターアカウントを事前に作成した場合
コンピューターアカウントを事前作成した場合、既定ではそのコンピューターアカウントをドメインに参加させることが出来るのはdomain adminに属しているユーザーアカウントです。

コンピューターアカウントを作成した際に、ユーザーまたはグループ欄が「既定:Domain Admins」となっているため、Domain Adminsのメンバーしかドメインに参加させることが出来ません。

Domain Admins以外のメンバーがドメインに参加させようとすると、上記のようなエラーメッセージが表示されます。

Domain Adminsのメンバーは正常にドメインに参加させることが出来ました。

上記設定は変更することが出来ます。
「変更」ボタンをクリックして、ドメインに参加させることが出来るユーザー、グループを指定します。

コンピュータープロパティのセキュリティを確認すると、設定したユーザーに権限が割り当てられています。

設定したユーザーで正常にドメインに参加させることが出来ました。
Domain Adminsのユーザーもドメインに参加させることは出来るようです。

コンピューターアカウントを作成した際に、ユーザーまたはグループ欄が「既定:Domain Admins」となっているため、Domain Adminsのメンバーしかドメインに参加させることが出来ません。

Domain Admins以外のメンバーがドメインに参加させようとすると、上記のようなエラーメッセージが表示されます。

Domain Adminsのメンバーは正常にドメインに参加させることが出来ました。

上記設定は変更することが出来ます。
「変更」ボタンをクリックして、ドメインに参加させることが出来るユーザー、グループを指定します。

コンピュータープロパティのセキュリティを確認すると、設定したユーザーに権限が割り当てられています。

設定したユーザーで正常にドメインに参加させることが出来ました。
Domain Adminsのユーザーもドメインに参加させることは出来るようです。
ちょっと一休み~大倉@二子玉川

二子玉川駅から歩いて10分ほど
二子玉川小学校のすぐそばにあるトンカツの名店
人気があるらしく、昼時は行列することがあるようです
ここの名物はもちろんトンカツ
成蔵、たいようと名店を渡り歩いてきましたが、こちらのトンカツはいかがでしょうか・・・
店内に入るとカウンターが5席に、テーブルが10席
初老の夫婦が店を切り盛りしています
店内からはサクッ、サクッというトンカツをカットする音が聞こえてきます
早速、トンカツ定食をオーダー
100円でご飯にかけられるカレーが提供されるらしいので、一緒に頼んでみます
お得感がいい感じです
ツレはエビフライとヒレカツの定食をオーダー

15分ほどまって、やってまいりましたトンカツ定食
ちょっと赤身のかかったのロース肉が素敵です
衣も薄すぎず、厚すぎす、ベストな厚さです
この時点で私は勝利を確信
このトンカツが不味い訳がない!
お店の人曰く、「塩でも美味いですよ」と
それを信じて塩だけでまずは食べてみます
サクッという食感、肉厚で柔らかい触感のお肉、そして口の中に広がる肉汁の旨味
とても幸せな気分です(*´∀`*)
塩でも美味しいけど、ソースをかけても、辛子をつけても美味しい
もちろん、そのままでも美味しい
添えつけのキャベツも甘味があって非常に美味しい
キャベツが美味しいトンカツ屋さんって当たりですよね~♪
カレーもよく煮込んであって、トンカツと良く合う!
これはカツカレーも美味しいかもしれない
店員さんの愛想も良いし、お店の雰囲気も和やか
100円でカレーも付けられたり、ランチも1000円以内で済ませられるので、コストパフォーマンスもいい方だと思います
少しわかりづらい場所にはあるけれど、頑張って行く価値のあるお店です