SEブログ

【Active Directory】ユーザーにローカル管理者権限を持たせる

 

こんにちは!SE ブログの相馬です。

 

 

 

今回は、グループポリシーを使って、特定のコンピューターに対して、ドメインユーザーに Administrators 権限を付与する方法について書きました。

 

 

Administrator アカウントの使用や、ドメイン管理者権限の付与はできない環境下で、期間限定で特定の コンピューターに対して、担当者に Administrators 権限を付与したい場合があるかと思います。Administrators 権限を付与された担当者は自分のアカウントで特定の PC サインインして、ソフトウェアのインストールや Windows の設定などを行う事ができます。

 

 

これが出来ると、一時的に担当者にキッティングなど作業してもらい、作業が終わったら権限を外せば良いわけです。

 

 

 

環境

 

 

今回の検証環境は以下のとおりです。サーバー、クライアントともに 1 台構成です。

 

 

サーバー側

 

  • OS:Windows Server 2016
  • 役割:ドメインコントローラー

 

クライアント側

 

  • OS:Windows 10
  • ドメインに参加済み

 

 

それでは早速はじめましょう。

 

 

 

サーバー側での作業

 

 

GPO を作成する

 

 

1. GPO を作成します。まずは Windows サーバーのグループポリシーの管理を起動します。

 

 

 

2. グループポリシーオブジェクトから新規で GPO を作成します。

 

 

 

3. GPO の名前を入力します。

 

 

 

4. GPO が作成されました。

 

 

 

 

GPO を編集する

 

 

GPO は作成できましたので、今度は GPO を編集します。

 

 

1. 作成した GPO を右クリックして、[編集] をクリックします。

 

 

 

2. [コンピューターの構成] → [ポリシー] → [Windowsの設定] → [セキュリティの設定] → [制限されたグループ] を右クリックし、[グループの追加] をクリックします。

 

 

 

3. グループ名を入力します。これは適当で良いです。分かり易い名前を入力します。

 

 

 

4. グループ名のプロパティで、[追加] をクリックします。

 

 

 

5. [参照] をクリックします。

 

 

 

6. Administrators グループに入れたいユーザー名を入力します。ここでは luser01 とします。

 

 

 

7. [OK] をクリックします。

 

 

 

8. グループの所属のほうにある、[追加] をクリックします。

 

 

 

9. Administrators と入力します。

 

 

 

10. 内容に間違いが無ければ、[OK] をクリックします。

 

 

 

11. グループが作成されました。

 

 

 

 

GPO を 特定の OU にリンクする

 

 

GPO が作成できて編集もできましたので、今度は特定の OU にリンクします。この OU にポリシーを適用させたいコンピューターアカウントを後で移動します。

 

 

1. ポリシーを適用したい特定の OU を右クリックし、[既存のGPOのリンク]をクリックします。

 

 

 

2. 作成した GPO を選択します。

 

 

 

3. OU に GPO がリンクされました。

 

 

 

 

コンピューターアカウントを 特定の OU に移動する

 

 

OU に GPO がリンクできましたので、コンピューターアカウントをその OU に移動します。

 

 

1. [Active Directory ユーザーとコンピューター] を起動します。

 

 

 

2. コンピューターアカウントを GPO をリンクした OU に移動します。

 

 

 

サーバー側の作業は以上になります。

 

 

 

クライアント側の作業

 

 

サーバー側の作業は完了しましたので、クライアント側の作業に進みます。クライアント側のサインインするユーザーは GPO で設定したユーザーでサインインします。

 

 

グループポリシーを強制的に適用する

 

 

GPO はしばらく時間が経てばクライアントに適用されますた、ここではすぐに確認したいので以下の作業をします。

 

 

1. コマンドプロンプトを起動します。

 

 

 

2. gpupdate /force コマンドを実行して、ポリシーを強制適用します。

 

 

 

3. PC を再起動します。

 

 

 

 

ユーザーが Administrators グループに入っているか確認する

 

 

PC の再起動後に、特定のユーザーが Administrators グループに入っているか確認します。

 

 

1. コンピューターの管理を起動します。

 

 

 

2. ローカルのグループから、Administrators を右クリックして [プロパティ] をクリックします。

 

 

 

3. GPO で設定したユーザーが入っている事が確認できました。

 

 

 

 

これで作業は完了です。

 

 

Administrators グループに別ユーザーを追加してみる

 

 

それでは、GPO で設定していないユーザーを Administrators グループに追加した場合はどうなるのでしょうか。

 

 

1. 試しに追加してみます。追加する事はできます。

 

 

 

2. PC を再起動した後は、追加したユーザーが消えました。GPO で設定したユーザー以外は消えてしまいます。

 

 

 

 

以上になります。

 

 

まとめ

 

 

限られたコンピューターをセットアップしたい時に、ヘルプデスクの担当者が設定するので、権限の範囲は限定したいといった場合に有効かと思います。こういったリクエストが来たらこのような方法で対応できる場合があるかと思いますので是非覚えておきましょう。

 

 

では最後までお読みいただきありがとうございました!