こんにちは!そーまんです。
今回は、グループポリシー (GPO) を使って、特定のコンピューターに対して、ドメインユーザーに ローカル管理者権限 (以下は特権と記載) を付与する方法について書きました。
企業では特権の使用や、ドメイン管理者権限の付与はできない環境が多いと思います。
ただし、期間限定で特定の コンピューターに対して、担当者に 特権を付与したい場合があるかと思います。特権権限を付与された担当者は自分のアカウントで特定の PC サインインして、ソフトウェアのインストールや Windows の設定などを行う事ができます。
これが出来ると、一時的に担当者にキッティングなど作業してもらい、作業が終わったら権限を外せば良いわけです。
何故 GPO を使って 特権を付与するのか?
主に以下の2点が重要かと思います。
- 手動ではなく、自動でやったほうが管理しやすい
- ユーザーでの特権が付与できない (付与してもログオン時には消える)
リモートデスクトップで手動で特権つけるのは面倒ですし、管理が面倒になります。またこの方法で一旦特権が付与されるとユーザーは特権を削除されるまで他のユーザーで特権を付与することができてしまいます。これではセキュリティー的には問題ではないかと思います。
検証した環境
今回の検証環境は以下のとおりです。サーバー、クライアントともに 1 台構成です。
サーバー側
- OS:Windows Server 2016
- 役割:ドメインコントローラー
クライアント側
- OS:Windows 10
- ドメインに参加済み
それでは早速はじめましょう。
サーバー側での作業
GPO を作成する
1. GPO を作成します。まずは Windows サーバーのグループポリシーの管理を起動します。
2. グループポリシーオブジェクトから新規で GPO を作成します。
3. GPO の名前を入力します。
4. GPO が作成されました。
GPO を編集する
GPO は作成できましたので、今度は GPO を編集します。
1. 作成した GPO を右クリックして、[編集] をクリックします。
2. [コンピューターの構成] → [ポリシー] → [Windowsの設定] → [セキュリティの設定] → [制限されたグループ] を右クリックし、[グループの追加] をクリックします。
3. グループ名を入力します。これは適当で良いです。分かり易い名前を入力します。
4. グループ名のプロパティで、[追加] をクリックします。
5. [参照] をクリックします。
6. Administrators グループに入れたいユーザー名を入力します。ここでは luser01 とします。
7. [OK] をクリックします。
8. グループの所属のほうにある、[追加] をクリックします。
9. Administrators と入力します。
10. 内容に間違いが無ければ、[OK] をクリックします。
11. グループが作成されました。
GPO を 特定の OU にリンクする
GPO が作成できて編集もできましたので、今度は特定の OU にリンクします。この OU にポリシーを適用させたいコンピューターアカウントを後で移動します。
1. ポリシーを適用したい特定の OU を右クリックし、[既存のGPOのリンク]をクリックします。
2. 作成した GPO を選択します。
3. OU に GPO がリンクされました。
コンピューターアカウントを 特定の OU に移動する
OU に GPO がリンクできましたので、コンピューターアカウントをその OU に移動します。
1. [Active Directory ユーザーとコンピューター] を起動します。
2. コンピューターアカウントを GPO をリンクした OU に移動します。
サーバー側の作業は以上になります。
クライアント側の作業
サーバー側の作業は完了しましたので、クライアント側の作業に進みます。クライアント側のサインインするユーザーは GPO で設定したユーザーでサインインします。
グループポリシーを強制的に適用する
GPO はしばらく時間が経てばクライアントに適用されますので、適用されたか確認をします。
1. コマンドプロンプトを起動します。
2. gpupdate /force コマンドを実行して、ポリシーを強制適用します。
3. PC を再起動します。
ユーザーが Administrators グループに入っているか確認する
PC の再起動後に、特定のユーザーが Administrators グループに入っているか確認します。
1. コンピューターの管理を起動します。
2. ローカルのグループから、Administrators を右クリックして [プロパティ] をクリックします。
3. GPO で設定したユーザーが入っている事が確認できました。
これで作業は完了です。
Administrators グループに別ユーザーを追加してみる
それでは、GPO で設定していないユーザーを Administrators グループに追加した場合はどうなるのでしょうか。
1. 試しに追加してみます。追加する事はできます。
2. PC を再起動した後は、追加したユーザーが消えました。GPO で設定したユーザー以外は消えてしまいます。
以上になります。
まとめ
いかがでしょうか。
限られたコンピューターをセットアップしたい時に、ヘルプデスクの担当者が設定するので、権限の範囲は限定したいといった場合に有効かと思います。こういったリクエストが来たらこのような方法で対応できる場合があるかと思いますので是非覚えておきましょう。
では最後までお読みいただきありがとうございました!
