ActiveDirectory ドメイン参加ユーザにローカルPC管理権限を与える

Windows Server

 

共有ファイルサーバのファイルへのアクセス権限をActiveDirectoryで制御したいけれど、ドメイン参加ユーザにローカルのPCを自由に使って貰いたい時にする設定のチップスをご紹介します。

 

 ご注意

※設定箇所を間違えると重要な設定が上書きされます。システム管理者様にお任せすることをおすすめします。

 

AD ActiveDirectory グループポリシーの管理

ActiveDirectory上で操作します。

【管理ツール】から【グループポリシーの管理】を選択します。

 

グループポリシーの管理

ドメイン名から【Default Domain Policy】で右クリックを行い 【編集】をクリックします。

 

 

AD セキュリティの設定 制限されたグループ

【グループポリシー管理エディター】が起動します。

 

【ポリシー】>> 【Windowsの設定】>> 【セキュリティの設定】 >> 【制限されたグループ】 で右クリックを行い、【グループの追加】をクリックします。

 

AD GPO 制限されたグループ ローカル管理権限

グループの追加ポップというポップアップが表示されるので、【参照】をクリックします。

 

AD GPO 制限されたグループ ローカル管理権限

【Domain Users】を入力して【名前の確認】をクリックします。

 

 

AD GPO 制限されたグループ ローカル管理権限

きちんとオブジェクトがあることを確認して、【OK】をクリックします。

 

 

AD GPO 制限されたグループ ローカル管理権限

『ドメイン名\Domain Users』という表示を確認して、【OK】をクリックします。

 

グループポリシー管理エディター Domain Users ローカル管理権限付与

【このグループの所属】項目で【追加】をクリックします。

 

 

グループポリシー管理エディター Domain Users ローカル管理権限付与

【グループメンバーシップ】ポップが表示されるので、『Administrators』と入力して、【OK】をクリックします。

 

グループポリシー管理エディター Domain Users ローカル管理権限付与

【このグループに所属】項目に『Administrators』が追加されていることを確認して、【OK】をクリックしましょう。

 

 コマンドプロンプトで即時反映させる

グループポリシー管理エディター Domain Users ローカル管理権限付与 gpupdate /force

 

せっかちなので即時反映させます!

 

 

グループポリシー反映させる gpupdate /force

コマンド自体は成功のようです。

 

実際にクライアントに反映されたか確認しよう!

クライアントPCを再起動させて、Administratorsに所属するメンバーを確認して見ます。

 

設定前

ドメイン参加ユーザ ローカルPCの管理者権限付与

 

設定後

ドメイン参加ユーザ ローカルPCの管理者権限付与

【ドメイン名\Domain Users】がきちんと追加されています。

 

 

これでドメイン参加ユーザは自由にローカルのPCにソフトウェア等をインストールしたりなどすることが可能になります。

 

お疲れ様です。

 

優 ( エンジニア )

この記事を書いた人:優 ( エンジニア )

システムガーディアン爆弾処理班。アクセス負荷対策やNginxへの移行案件が多いこの頃。IBM SoftLayerやAWSなどクラウド案件も多くなってきました。


この記事に関してのお問い合わせ
御連絡・ご返信は原則2営業日以内を予定しております。
お急ぎの場合は、お手数ですが下記電話でもご対応をしております。

システムガーディアン株式会社
受付時間:平日9:00~18:00
受付担当:坪郷(つぼごう)・加藤
電話:03-6758-9166