【Active Directory】ユーザーにローカル管理者権限を持たせる

Active Directory

【Active Directory】ユーザーにローカル管理者権限を持たせる

2018年7月22日

こんにちは!そーまんです。

今回は、グループポリシー (GPO) を使って、特定のコンピューターに対して、ドメインユーザーに ローカル管理者権限 (以下は特権と記載) を付与する方法について書きました。

企業では特権の使用や、ドメイン管理者権限の付与はできない環境が多いと思います。

ただし、期間限定で特定の コンピューターに対して、担当者に 特権を付与したい場合があるかと思います。特権権限を付与された担当者は自分のアカウントで特定の PC サインインして、ソフトウェアのインストールや Windows の設定などを行う事ができます。

これが出来ると、一時的に担当者にキッティングなど作業してもらい、作業が終わったら権限を外せば良いわけです。


何故 GPO を使って 特権を付与するのか?

主に以下の2点が重要かと思います。

  • 手動ではなく、自動でやったほうが管理しやすい
  • ユーザーでの特権が付与できない (付与してもログオン時には消える)

リモートデスクトップで手動で特権つけるのは面倒ですし、管理が面倒になります。またこの方法で一旦特権が付与されるとユーザーは特権を削除されるまで他のユーザーで特権を付与することができてしまいます。これではセキュリティー的には問題ではないかと思います。

検証した環境

今回の検証環境は以下のとおりです。サーバー、クライアントともに 1 台構成です。

サーバー側

  • OS:Windows Server 2016
  • 役割:ドメインコントローラー

クライアント側

  • OS:Windows 10
  • ドメインに参加済み

それでは早速はじめましょう。


サーバー側での作業

GPO を作成する

1. GPO を作成します。まずは Windows サーバーのグループポリシーの管理を起動します。


2. グループポリシーオブジェクトから新規で GPO を作成します。


3. GPO の名前を入力します。


4. GPO が作成されました。


GPO を編集する

GPO は作成できましたので、今度は GPO を編集します。

1. 作成した GPO を右クリックして、[編集] をクリックします。


2. [コンピューターの構成] → [ポリシー] → [Windowsの設定] → [セキュリティの設定] → [制限されたグループ] を右クリックし、[グループの追加] をクリックします。


3. グループ名を入力します。これは適当で良いです。分かり易い名前を入力します。


4. グループ名のプロパティで、[追加] をクリックします。


5. [参照] をクリックします。


6. Administrators グループに入れたいユーザー名を入力します。ここでは luser01 とします。


7. [OK] をクリックします。


8. グループの所属のほうにある、[追加] をクリックします。


9. Administrators と入力します。


10. 内容に間違いが無ければ、[OK] をクリックします。


11. グループが作成されました。


GPO を 特定の OU にリンクする

GPO が作成できて編集もできましたので、今度は特定の OU にリンクします。この OU にポリシーを適用させたいコンピューターアカウントを後で移動します。

1. ポリシーを適用したい特定の OU を右クリックし、[既存のGPOのリンク]をクリックします。


2. 作成した GPO を選択します。


3. OU に GPO がリンクされました。


コンピューターアカウントを 特定の OU に移動する

OU に GPO がリンクできましたので、コンピューターアカウントをその OU に移動します。

1. [Active Directory ユーザーとコンピューター] を起動します。


2. コンピューターアカウントを GPO をリンクした OU に移動します。

サーバー側の作業は以上になります。


クライアント側の作業

サーバー側の作業は完了しましたので、クライアント側の作業に進みます。クライアント側のサインインするユーザーは GPO で設定したユーザーでサインインします。

グループポリシーを強制的に適用する

GPO はしばらく時間が経てばクライアントに適用されますので、適用されたか確認をします。

1. コマンドプロンプトを起動します。


2. gpupdate /force コマンドを実行して、ポリシーを強制適用します。


3. PC を再起動します。


ユーザーが Administrators グループに入っているか確認する

PC の再起動後に、特定のユーザーが Administrators グループに入っているか確認します。

1. コンピューターの管理を起動します。


2. ローカルのグループから、Administrators を右クリックして [プロパティ] をクリックします。


3. GPO で設定したユーザーが入っている事が確認できました。

これで作業は完了です。


Administrators グループに別ユーザーを追加してみる

それでは、GPO で設定していないユーザーを Administrators グループに追加した場合はどうなるのでしょうか。

1. 試しに追加してみます。追加する事はできます。


2. PC を再起動した後は、追加したユーザーが消えました。GPO で設定したユーザー以外は消えてしまいます。

以上になります。


まとめ

いかがでしょうか。

限られたコンピューターをセットアップしたい時に、ヘルプデスクの担当者が設定するので、権限の範囲は限定したいといった場合に有効かと思います。こういったリクエストが来たらこのような方法で対応できる場合があるかと思いますので是非覚えておきましょう。

では最後までお読みいただきありがとうございました!

  • この記事を書いた人

そーまん

セキュリティエンジニアやってます。
ブログ歴3年。PVは月15万PV程度。
趣味はボクシング、筋トレ、登山です。
穏やかで人見知りな性格です。

人気記事

1

こんにちは!そーまんです。 今回は、PC に適用されている GPO を確認する方法について書きました。 本題に入る前に、一応参考までにGPOの適用タイミングについての記事をここに貼りましたので、必要に ...

2

こんにちは!そーまんです。 今回は sysprep について、全体的に PC をセットアップする観点から書いてみました。長々と書いてあります。まずは前置きからです。 まずはじめに 組織では PC のラ ...

3

こんにちは!そーまんです。 今回は、グループポリシー (GPO) を使って、特定のコンピューターに対して、ドメインユーザーに ローカル管理者権限 (以下は特権と記載) を付与する方法について書きました ...

4

こんにちは!そーまんです。 今回は、Windows サインイン後に一時ユーザープロファイルが読み込まれてしまった場合の解決方法について書きました。 Windows 10 の検証環境をいじってたらサイン ...

5

こんにちは!そーまんです。 今回は、ユーザープロファイルを削除する方法について書いてみました。 企業の場合よくあることですが、1 台の PC を共有 PC として複数人で使ったり、また余り無いかもしれ ...

6

こんにちは!SE ブログの相馬です。       今回は、繰り返し文について書いてみました。PowerShell では他のプログラミング言語同様、繰り返し処理を行うことが ...

7

コマンドを使って CPU とメモリの使用率をデータで取得してみましたので、例えば PC のトラブルシューティングで問題を再現させる際にデータを取得しておくと、原因の特定に役立つ場合があるかと思います。

8

既存の PC と同じ構成で別のメーカーの PC でマスターイメージを作る際、インストールされているアプリを同一にする為に必要になるかと思います。

9

企業で多くの GPO が適用されている環境では、PC に GPO が適用されなかったりする問題が発生する場合があるかと思います。その中でも、コンピューターの構成またはユーザーの構成のどちらかで、...

10

こんにちは!そーまんです。 今回は、Windows Server 2019 で NTP サーバーと同期する方法について書きました。 NTP サーバーの必要性や時刻同期の重要性を理解することは社内のシス ...

-Active Directory
-, , ,