はじめに
ADで作成されたアカウントユーザでクライアントPCにログインすると、通常は管理権限なしの一般ユーザとなっています。
一般ユーザではアプリケーションの追加ができず、PCに変更することが一苦労。
管理権限を追加するため、ローカルの管理ユーザでログインし、ADアカウントユーザへ管理権限を付与する。
結構めんどうな作業ですよね?
初回ログイン時から自動的にローカル管理権限がついていればとっても楽!
今回はこの部分をADのOGP設定で解決します!
環境:
Amazon Directory Service MicrosoftAD
グループポリシーの管理で制限されたグループの設定を行う
まず、スタートボタン > 管理ツール > グループポリシーの管理 を開きます。
管理ツールにグループポリシーの管理が表示されない場合は、
サーバマネージャ > 機能 > 機能の追加 >グループポリシーの管理をチェック > インストール
で機能の追加をおこなってください。
グループポリシーの管理を開いたら、【Default Domain Policy】配下の【Computer】を右クリック。
【このドメインにGPOを作成し.....】をクリック。
任意のGPO名を入力。ここではtest00としています。
作成したGPOを右クリックして編集。
Windowsの設定 > セキュリティの設定 > 制限されたグループ
制限されたグループを右クリックし、グループの追加
参照をクリックしたら、【Administrator】を入力し、選択。選択したらOK。
その後、プロパティが表示されるので、上段のこのグループのメンバーに【Domain Users】を追加。
※注意点※
Administratorsへのメンバーを指定する場合、指定したメンバー以外のもともと所属していたメンバー
[(例)クライアントPCの管理権限をもつローカルユーザ]は自動的にAdministratorsから除外されます
続いて同じように、【Domain Users】側からも【Administrator】への所属をさせます。
今回は下段に【Administrator】を追加。
※注意点※
指定のグループにAdministratorsを所属させる場合は、既存の登録メンバーに追加する形で追加が行われます。
以上で、GPOの設定は完了です。
設定したGPOを即時反映させるには
クライアントに反映されるまで時間がかかるよようなので、強制的に有効化を行いたい場合は、コマンドで実行。
gpupdate /force
設定内容の反映を確認
クライアントPCを再起動させて、ローカルアカウントに権限が追加されているか確認します。
コントロールパネル > ユーザアカウント > ユーザアカウントの管理 > 詳細設定タブ
グループからAdministratorの詳細を確認します。
【Domain Users】がグループに追加されていることが確認できました!
これで、ADで追加したユーザがクライアントPCに管理権限が付与された状態でログインすることができるようになりました。