人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

Windows Server 2003にてActiveDirectoryを構築しています。
コンピュータアカウントの作成について、現在はドメインにビルトインされているDomain Administratorアカウントを使用して、クライアントからの操作にてドメインに追加(参加)しておりますが、これをDomain Administratorアカウントではないアカウント(新規作成可)にて、実施することは可能でしょうか?
その際、そのアカウントの権限(グループ)をDomain Administratorsではなく、コンピュータアカウントを作成するだけの権限を有するグループとすることは可能でしょうか?
また、上記について、ユーザアカウントも同様のことが可能でしょうか?

●質問者: hiromiti
●カテゴリ:コンピュータ
✍キーワード:Windows Server 2003 アカウント クライアント グループ コンピュータ
○ 状態 :終了
└ 回答数 : 2/2件

▽最新の回答へ

1 ● GreenStar
●35ポイント

(1)コンピュータアカウントを作成するだけの権限を有するグループとすることは可能でしょうか?

アカウントを操作するには下記のいずれかの権限が必要となります。

Account Operators < Domain Admins < Enterprise Admins

(<は権限の範囲の広さの違いを表してます)

アカウント関連に特化したものとしてはAccount Operatorsグループがありますが、それでもまだ「作成だけ」にはなりません。

Account Operatorsグループに所属させた後、ポリシーで権限を削りまくる必要があり面倒です。


(2)ユーザアカウントも同様のことが可能でしょうか?

一部の権限だけを特定のユーザーに委譲できますので、こちらのほうが楽かもしれません。下記参照してみてください。

ステップバイステップ ガイド : オブジェクト制御の委任ウィザードの使用

http://technet.microsoft.com/ja-jp/library/cc967033.aspx


私は上記についてのトラブル対応スキルが無いのでお手伝いできるのは現状ここまでです。採用の前に十分検討・検証してくださいね。

◎質問者からの返答

返信遅くなりすいません。

ご回答ありがとうございます。早速、確認・テストしてみます。

(1)について、Microsoftのホワイトペーパーの類でこの内容を説明されているサイト等ご存知でしょうか?


2 ● GreenStar
●35ポイント

どのようなグループが存在するかについては「既定のグループ」

http://technet.microsoft.com/ja-jp/library/cc756898(WS.10).aspx


ポリシーの概要は「ステップバイステップ ガイド : Windows Server 2003 のグループ ポリシー機能」

http://technet.microsoft.com/ja-jp/library/cc973079.aspx

ポリシーの設定変更は「ステップバイステップ ガイド : グループ ポリシー管理コンソールの使用」

http://technet.microsoft.com/ja-jp/library/cc967042.aspx

どのようなポリシーが存在するかを一覧できるようなものはなかったと記憶しています。


私自身、すべてを記憶するような賢い頭は持ってませんので、

2003 Account ポリシー site:technet.microsoft.com

といった具合に検索かけて検証してます。

上記3つ目のページを見ただけで、多分ですが、(1)の方法は項目多すぎて面倒という事になるとは思います。

◎質問者からの返答

早速ご回答いただき、ありがとうございました。

参考にします。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ