Windows Server 2003にてActiveDirectoryを構築しています。

コンピュータアカウントの作成について、現在はドメインにビルトインされているDomain Administratorアカウントを使用して、クライアントからの操作にてドメインに追加(参加)しておりますが、これをDomain Administratorアカウントではないアカウント(新規作成可)にて、実施することは可能でしょうか?
その際、そのアカウントの権限(グループ)をDomain Administratorsではなく、コンピュータアカウントを作成するだけの権限を有するグループとすることは可能でしょうか?
また、上記について、ユーザアカウントも同様のことが可能でしょうか?

回答の条件
  • URL必須
  • 1人2回まで
  • 13歳以上
  • 登録:2010/04/19 10:19:20
  • 終了:2010/04/26 10:20:02

回答(2件)

id:GreenStar No.1

GreenStar回答回数192ベストアンサー獲得回数462010/04/19 16:50:58

ポイント35pt

(1)コンピュータアカウントを作成するだけの権限を有するグループとすることは可能でしょうか?

アカウントを操作するには下記のいずれかの権限が必要となります。

Account Operators < Domain Admins < Enterprise Admins

(<は権限の範囲の広さの違いを表してます)

アカウント関連に特化したものとしてはAccount Operatorsグループがありますが、それでもまだ「作成だけ」にはなりません。

Account Operatorsグループに所属させた後、ポリシーで権限を削りまくる必要があり面倒です。


(2)ユーザアカウントも同様のことが可能でしょうか?

一部の権限だけを特定のユーザーに委譲できますので、こちらのほうが楽かもしれません。下記参照してみてください。

ステップバイステップ ガイド : オブジェクト制御の委任ウィザードの使用

http://technet.microsoft.com/ja-jp/library/cc967033.aspx


私は上記についてのトラブル対応スキルが無いのでお手伝いできるのは現状ここまでです。採用の前に十分検討・検証してくださいね。

id:hiromiti

返信遅くなりすいません。

ご回答ありがとうございます。早速、確認・テストしてみます。

(1)について、Microsoftのホワイトペーパーの類でこの内容を説明されているサイト等ご存知でしょうか?

2010/04/20 08:48:58
id:GreenStar No.2

GreenStar回答回数192ベストアンサー獲得回数462010/04/20 11:30:03

ポイント35pt

どのようなグループが存在するかについては「既定のグループ」

http://technet.microsoft.com/ja-jp/library/cc756898(WS.10).aspx


ポリシーの概要は「ステップバイステップ ガイド : Windows Server 2003 のグループ ポリシー機能」

http://technet.microsoft.com/ja-jp/library/cc973079.aspx

ポリシーの設定変更は「ステップバイステップ ガイド : グループ ポリシー管理コンソールの使用」

http://technet.microsoft.com/ja-jp/library/cc967042.aspx

どのようなポリシーが存在するかを一覧できるようなものはなかったと記憶しています。


私自身、すべてを記憶するような賢い頭は持ってませんので、

2003 Account ポリシー site:technet.microsoft.com

といった具合に検索かけて検証してます。

上記3つ目のページを見ただけで、多分ですが、(1)の方法は項目多すぎて面倒という事になるとは思います。

id:hiromiti

早速ご回答いただき、ありがとうございました。

参考にします。

2010/04/20 13:41:22

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません