はじめに
以前こちらの記事でご紹介した、ADアカウントにローカル管理権限を設定する方法について新たなことがわかったので、情報更新です。
[ActiveDirectory]ADアカウントユーザにデフォルトでローカルユーザの管理権限を設定する方法
※前回の記事にも簡単に修正を加えています。
前回のさらっとまとめ
前回の記事では、ADアカウントが初回ログイン時からデフォルトでローカルの管理権限をもつ、すなわちAdministratorsに所属するように設定する方法をご紹介していました。
例)DomainUsersをAdministratorsに所属させる。
[制限されたグループ]の設定では、以下2パターンの設定方法があります。
①
Administratorsのメンバーシップ構成にこのグループのメンバーとして、DomainUsersを追加する方法
②
DmainUsersのメンバーシップ構成にこのグループの所属として、Administratorsを追加する方法
前回アップした記事では①、②両方向からメンバーへ所属させる方法をとっていました。
が、その後調べているとドメイン参加後のローカルAdministratorsグループをどのようにしたいか、によって設定の仕方が異なることがわかりました。
指定したユーザのみ権限を与える or 指定したユーザ+もとのユーザにも権限を残す
①
Administratorsのメンバーシップ構成にこのグループのメンバーとして、DomainUsersを追加する方法
上記の設定を行った場合、
ここで設定したユーザのみ、このキャプチャでいうDomainUsersと黒塗りしているグループの2つのグループのユーザだけに管理権限が与えられる。
そのため、もともとAdministratorsに所属していたメンバーは全て権限から外れてしまいます。
ただしAdministratorの管理権限はそのまま残ります。
ローカルでAdministratorsに所属していたメンバーは除外されてしまいました。
②
DmainUsersのメンバーシップ構成にこのグループの所属として、Administratorsを追加する方法
こちらの場合は、DomainUesrsの他にもともと設定されていたローカルユーザはそのまま残ります。DomainUsersが新たに追加される状態です。
ローカルのAdministratorsのグループ構成を確認してみます。
既存ユーザと新たに追加したドメインユーザグループの両方がAdministratorsに入っています。
想定する利用方法に応じて使い分けが必要
ADユーザに対してデフォルトでローカルの管理権限を追加する方法は①もしくは②どちらの方法でも実現可能ですが、
ローカルユーザの管理権限をどうするのか?
によって設定の仕方が変わってきます。
ローカルユーザに管理権限を残すか残さないか、今一度確認の上設定を行うことをおすすめします。
ちなみに前回の記事で両方向から設定を行った際は、既存のローカルユーザの権限はなくなってしまいました。
おそらく①で設定した内容が優先して?反映されていた、ということになります。
今回はローカルユーザの権限を残す形でドメインユーザグループの追加を行いたかったので、パターン②の方法で設定を修正しました。