NTドメインやActiveDirectoryの運用を行っている、ノウハウのある方にお聞きします。

セミナーにてWinodwsのActiveDirectoryに参加するにはDomain管理権限が必要だと聞いたのですが、素人考えでは domain user の間違いなのではと思いました。管理対象になるのに管理者権限が必要なのは本末転倒ではないかと。
参考になる情報の提示をお願いします。

回答の条件
  • URL必須
  • 1人2回まで
  • 登録:2006/02/12 21:44:58
  • 終了:--

ベストアンサー

id:olo No.2

olo回答回数80ベストアンサー獲得回数12006/02/12 22:20:16

ポイント50pt

http://www.admintech.jp/html/1/1.html

Active Directoryドメインに一般ユーザーの権限でコンピュータを10台以上参加させたい

言葉のちょっとしたまちがいで、誤解を生んだケースだと思います。


とらえかたをかえてみるのが早いと思います。


ActiveDirectoryに「参加するには」ではなく、

「参加させる」のにドメインの管理権限が必要となります。

ActiveDirectoryに参加しているユーザーは既定で Domain Userです。


管理者権限を持っているユーザーも、もっていないユーザーも

ActiveDirectoryに管理されるユーザーであることには違いありません。

ついている権限に違いがあります。


管理者権限ユーザー

Domain User権限 + 管理権限


普通のユーザー

Domain User権限


というのが正しい捉え方です。

id:toton

なるほど。それなら納得です。

では、AcriveDirectory参加させるときは、管理者が一台一台のマシンに設定を行うものでしょうか?

僕の被管理対象者としての経験だと、所属部署のマニュアルに従いADに参加する設定を各クライアントで行っていたのですが、このときADの設定を破壊する権限を皆が持っていたことになるのかな。

2006/02/12 23:59:40

その他の回答(3件)

id:t111 No.1

t111回答回数68ベストアンサー獲得回数02006/02/12 22:13:56

ポイント10pt

http://www.aibsc.jp/joho/otasuke_m/clientserver/05/02.html

クライアントの設定 - ドメイン参加

クライアントマシンをドメインに参加させる方法です。このときAdministrator権限が必要になります。

この設定を一度やれば、そのクライアントマシンにドメインのアカウントでログオンできるようになります。

id:toton

そのマニュアルでは「サーバのadministratorアカウント」とありますが、ローカルコンピュータのadministrator権限ではなく、ドメイン管理権限を必要とするのでしょうか。

2006/02/12 23:53:20
id:olo No.2

olo回答回数80ベストアンサー獲得回数12006/02/12 22:20:16ここでベストアンサー

ポイント50pt

http://www.admintech.jp/html/1/1.html

Active Directoryドメインに一般ユーザーの権限でコンピュータを10台以上参加させたい

言葉のちょっとしたまちがいで、誤解を生んだケースだと思います。


とらえかたをかえてみるのが早いと思います。


ActiveDirectoryに「参加するには」ではなく、

「参加させる」のにドメインの管理権限が必要となります。

ActiveDirectoryに参加しているユーザーは既定で Domain Userです。


管理者権限を持っているユーザーも、もっていないユーザーも

ActiveDirectoryに管理されるユーザーであることには違いありません。

ついている権限に違いがあります。


管理者権限ユーザー

Domain User権限 + 管理権限


普通のユーザー

Domain User権限


というのが正しい捉え方です。

id:toton

なるほど。それなら納得です。

では、AcriveDirectory参加させるときは、管理者が一台一台のマシンに設定を行うものでしょうか?

僕の被管理対象者としての経験だと、所属部署のマニュアルに従いADに参加する設定を各クライアントで行っていたのですが、このときADの設定を破壊する権限を皆が持っていたことになるのかな。

2006/02/12 23:59:40
id:monyot No.3

monyo回答回数146ベストアンサー獲得回数182006/02/12 23:15:35

ポイント30pt

上記に記載があるとおり、「 ドメイン コントローラ上の Authenticated Users」、つまり認証されているユーザは誰でも10台まではワークステーションを追加できます。

ただし、NTドメインでは、AdministratorsとServer Operatorsという特殊なグループに所属している必要があったので、一般ユーザでは参加できませんでした。

ドメイン管理を厳密に行うという意味では、ドメインの管理者以外、ワークステーションを追加できない設定にしているところは多いです。

id:toton

うーん。それがMicrosoftの設計なんですね。数万台のワークステーション管理とかどうするんだろう。

2006/02/13 01:50:06
id:kensaito No.4

kensaito回答回数163ベストアンサー獲得回数42006/02/13 22:16:11

ポイント25pt

http://www.atmarkit.co.jp/fwin2k/win2ktips/553sysprep/sysprep.ht...

@IT:Windows TIPS -- Tips:sysprepで環境複製用のマスタ・イメージを作成する

>管理者が一台一台のマシンに設定を行うものでしょうか?


普通はそうです。ただし、sysprep を使うことにより、ここら辺の作業の大部分を自動的に実行することができます。


会社でPCのセットアップ作業をするのですが、sysprep実行済みのHDDのイメージがある場合は、イメージの展開からドメイン参加まで30分もあれば終わります。

id:toton

なるほど。

2006/02/14 00:57:10

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません