もっと詳しく

ドメインコンピューターのローカル管理者権限をテクニカルサポート担当者、ヘルプデスクチーム、特定のユーザー、およびその他の特権アカウントに付与するには、必要なActiveDirectoryユーザーまたはグループをローカルに追加する必要があります。 管理者 サーバーまたはワークステーションでグループ化します。 この記事では、ドメインコンピューター上のローカルAdministratorsグループのメンバーを手動およびGPOを介して管理する方法を示します。

ローカル管理者グループにユーザーを手動で追加する

ユーザーまたはグループに特定のコンピューターのローカル管理者権限を付与する最も簡単な方法は、グラフィカルなローカルユーザーとグループスナップインを使用してローカル管理者グループに追加することです(lusrmgr.msc)。

コンピューターをADドメインに参加させると、 ドメイン管理者 グループはコンピュータのローカルに自動的に追加されます 管理者 グループ、および ドメインユーザー グループがローカルに追加されます ユーザー グループ。

クリック 追加 ボタンをクリックして、ローカル管理者権限を付与するユーザー、グループ、コンピューター、またはサービスアカウント(gMSA)の名前を指定します。[場所]ボタンを使用すると、ドメイン内またはローカルコンピューター上のプリンシパルの検索を切り替えることができます。

コマンドプロンプトを使用して、ローカルコンピューターの管理者権限を持つユーザーのリストを表示することもできます。

net localgroup administrators

次のPowerShellコマンドを使用して、ローカルグループ内のユーザーのリストを取得できます(組み込みのLocalAccountsモジュールを使用してローカルユーザーとグループを管理します)。

Get-LocalGroupMember administrators

このコマンドは、管理者権限(ObjectClass =ユーザー、グループ、またはコンピューター)が付与されているオブジェクトクラスと、アカウントまたはグループのソース(ActiveDirectory、Azure AD、Microsoft、またはローカル)を表示します。

PowerShellを使用してローカル管理者グループのメンバーシップを一覧表示する

ドメイングループを追加するには munWksAdmins (またはユーザー)ローカル管理者に対して、次のコマンドを実行します。

net localgroup administrators /add munWksAdmins /domain

PowerShellを使用すると、次のようにユーザーを管理者に追加できます。

Add-LocalGroupMember -Group Administrators -Member ('woshubj.smith', 'woshubmunWksAdmins','wks1122user1') –Verbose

PowerShellを使用してドメインユーザーをローカル管理者に追加する

この例では、woshubドメインのユーザーとグループおよびローカルユーザーwks1122user1をコンピューター管理者に追加しました。

複数のコンピューターのAd​​ministratorsグループにユーザーを一度に追加できます。 この場合、PowerShell RemotingのInvoke-Commandコマンドレットを使用して、ネットワーク経由でリモートコンピューターにアクセスできます。

$WKSs = @("PC001","PC002","PC003")
Invoke-Command -ComputerName $WKSs –ScriptBlock {Add-LocalGroupMember -Group Administrators -Member woshubmunWksAdmins'}

ドメインユーザーまたはグループへの管理者権限の提供を完全に拒否することもできます。 この場合、Active Directoryに保存されているパスワード(ローカル管理者パスワードソリューション/ LAPSを使用して実装)を使用して組み込みのローカル管理者を使用し、ユーザーのコンピューターで1回限りの管理タスクを実行できます。

Active Directoryドメイン環境では、グループポリシーを使用して、ドメインコンピューターのローカル管理者権限を付与することをお勧めします。 これは、各コンピューターのローカルAdministratorsグループにユーザーを手動で追加するよりもはるかに簡単で、便利で、安全です。 2つのグループポリシーオプションを使用して、ドメインコンピューター上のAdministratorsグループを管理できます。

  • グループポリシー設定を使用してローカルグループメンバーシップを管理します。
  • 制限付きグループGPO機能を使用してローカルグループにユーザーを追加します。

グループポリシーの基本設定を使用してドメインユーザーをローカル管理者に追加するにはどうすればよいですか?

グループポリシー設定(GPP)は、GPOを介してドメインコンピューターのローカル管理者特権を付与するための最も柔軟で便利な方法を提供します。

特定のActiveDirectoryOU(組織単位)内のコンピューターに対するローカル管理者特権をヘルプデスクチームグループに付与することがタスクであるとします。 PowerShellを使用してドメインに新しいセキュリティグループを作成し、ヘルプデスクチームアカウントを追加します。

New-ADGroup munWKSAdmins -path 'OU=Groups,OU=Munich,OU=DE,DC=woshub,DC=com' -GroupScope Global –PassThru
Add-AdGroupMember -Identity munWKSAdmins -Members amuller, dbecker, kfisher

ドメインのグループポリシー管理コンソールを開きます(GPMC.msc)、新しいポリシー(GPO)を作成します AddLocaAdmins そして、それをOUを含むコンピューターにリンクします(私の例では、「OU = Computers、OU = Munich、OU = DE、DC = woshub、DC = com」です)。

  1. 編集します AddLocaAdmins 以前に作成したGPO。
  2. 次のGPOセクションに移動します。 コンピューターの構成–>設定–>コントロールパネルの設定–>ローカルユーザーとグループ;
  3. 新しいルールを追加します(新しい -> ローカルグループ); グループポリシーの設定でローカルグループを管理する
  4. 選択する アップデート [アクション]フィールド(これは重要なオプションです!);
  5. 選択する 管理者(組み込み) [グループ名]ドロップダウンリスト このグループの名前がコンピューター上で変更されている場合でも、設定はそのSIDによってローカルのAdministratorsグループに適用されます(S-1-5-32-544);
  6. クリック 追加 ボタンをクリックして、ローカルのAdministratorsグループに追加するグループを選択します(この場合、これは munWKSAdmins);

    手動で追加したすべてのユーザーとグループを、すべてのコンピューターのローカル管理者から削除できます。 「すべてのメンバーユーザーを削除します” と “すべてのメンバーグループを削除する」オプション。 ほとんどの場合、承認されたドメイングループのみがドメインコンピューターの管理者権限を持つことを保証するため、合理的です。 「ローカルユーザーとグループ」スナップインを使用して手動でユーザーをAdministratorsグループに追加すると、次回ポリシーが適用されたときに自動的に削除されます。

    gpoを使用してドメインユーザーグループをローカル管理者グループに追加します

  7. ポリシーを保存し、クライアントワークステーションに適用されるのを待ちます。 グループポリシー設定をすぐに適用するには、このコマンドを実行します gpupdate /force ユーザーのコンピューター上。
  8. を開きます lusrmgr.msc任意のドメインコンピューターにスナップインし、ローカルのAdministratorsグループメンバーを確認します。 のみ munWKSAdmins グループはこのグループに追加する必要がありますが、他のユーザーとグループは削除されます(組み込みのWindows管理者アカウントを除く)。

GPOを使用する特定のコンピューターのローカル管理者グループにシングルユーザーを追加する

特定のコンピューターの管理者特権を1人のユーザーに付与する必要がある場合があります。 たとえば、ドライバーをテストしたり、デバッグしたり、コンピューターにインストールしたりするために、昇格された特権を必要とする開発者が何人かいます。 すべてのドメインコンピューターに対する特権を持つワークステーション管理者のグループにそれらを追加することは合理的ではありません。

GPOWMIフィルターまたは アイテムレベルのターゲティング 特定のコンピューターのローカル管理者権限を付与します。

のGPO設定セクション([コンピューターの構成]–>[設定]–>[コントロールパネルの設定]–>[ローカルユーザーとグループ])に新しいエントリを作成します。 AddLocalAdmins 以前に作成されたポリシー:

  1. アクションUpdate
  2. グループ名Administrators (Built-in)
  3. 説明:「Add amuller to the local administrators on the mun-dev-wsk21 computer
  4. メンバー:追加-> amuller グループポリシー設定を使用して、ユーザーuserをローカル管理者グループに追加します
  5. の中に 一般 -> ターゲティング タブで、次のルールを指定します。the NETBIOS computer name is mun—dev-wks24.」これは、このグループポリシー項目が、ここで指定されたコンピューターにのみ適用されることを意味します。 gpo:特定のコンピューターにのみローカル管理者権限を追加する

また、グループメンバーシップがコンピューターに適用される順序にも注意してください( Order GPPカラム)。 ローカルグループのメンバーシップは上から下に適用されます( Order 1 ポリシー)。

最初のGPPポリシーオプション(上記の「すべてのメンバーユーザーの削除」および「すべてのメンバーグループの削除」設定を使用)は、ローカルのAdministratorsグループからすべてのユーザー/グループを削除し、指定されたドメイングループを追加します。 次に、指定されたユーザーをローカル管理者に追加する追加のコンピューター固有のポリシーが適用されます。 管理者グループのメンバーシップの順序を変更する場合は、GPOエディターコンソールの上部にあるボタンを使用します。

制限されたグループGPOを使用したローカル管理者の管理

制限されたグループ ポリシーでは、ドメイングループ/ユーザーをコンピューターのローカルセキュリティグループに追加することもできます。 これは、ローカル管理者特権を付与する古い方法であり、現在はあまり使用されていません(上記のグループポリシー設定方法よりも柔軟性がありません)。

  1. GPOを開きます。
  2. セクションを展開 [コンピューターの構成]->[ポリシー]->[セキュリティ設定]->[制限されたグループ];
  3. 選択する グループを追加 コンテキストメニュー内。gpo制限付きグループポリシー
  4. 次のウィンドウで、次のように入力します 管理者 次に、[OK]をクリックします。 gpo:ローカル管理者に追加
  5. クリック 追加 の中に このグループのメンバー セクションを作成し、ローカル管理者に追加するグループを指定します。ドメイングループの管理者のメンバーシップを構成する
  6. 変更を保存し、ユーザーのコンピューターにポリシーを適用して、ローカルを確認します 管理者 グループ。 ポリシーで指定したグループのみが含まれている必要があります。

    これらのグループポリシー設定は常に()ローカルAdministratorsグループの既存のメンバーをすべて削除します(他のポリシーまたはスクリプトによって手動で追加されます)。

Administratorsグループの現在のメンバーシップを維持し、制限付きグループGPOを使用してグループ(ユーザー)を追加する必要がある場合は、次のことを行う必要があります。

  1. 制限付きグループに新しいエントリを作成し、ローカル管理者に追加するADセキュリティグループ(!!!)を選択します。gpoを使用してローカルWindows管理者にドメインセキュリティグループを追加する
  2. 次に、 管理者 の中に このグループはのメンバーです セクション;グループが制限されているローカル管理者にドメイングループを追加するgpo
  3. クライアントのGPO設定を更新し、ドメイングループがローカルのAdministratorsグループに追加されていることを確認します。 この場合、ローカルグループの現在のプリンシパルは変更されません(グループから削除されません)。

記事の最後に、ActiveDirectoryコンピューターとサーバーの管理者権限を管理するための推奨事項をいくつか残しておきます。

Microsoftの従来のセキュリティのベストプラクティスでは、次のグループを使用してADドメインの管理者権限を分離することを推奨しています。

  1. ドメイン管理者 ドメインコントローラーでのみ使用されます。
    特権管理者アカウントのセキュリティの観点から、ドメイン管理者特権を持つアカウントでワークステーションとサーバーで日常の管理タスクを実行することはお勧めしません。 これらのアカウントは、AD管理タスク(新しいドメインコントローラーの追加、レプリケーション管理、Active Directoryスキーマの変更など)にのみ使用する必要があります。 ほとんどのユーザー、コンピューター、またはGPO管理タスクは、通常の管理者アカウント(ドメイン管理者権限なし)に委任する必要があります。 ドメイン管理者アカウントを使用して、ドメインコントローラー以外のワークステーションまたはサーバーにログオンしないでください。
  2. サーバー管理者 ADドメインでWindowsServerホストを管理できるようにするグループです。 ワークステーションのDomainAdminsグループまたはローカルAdministratorsグループのメンバーであってはなりません。
  3. ワークステーション管理者 ワークステーションでのみ管理タスクを実行するためのグループです。 DomainAdminsおよびServerAdminsグループのメンバーであってはなりません。
  4. ドメインユーザー 一般的なオフィス操作を実行するための一般的なユーザーアカウントです。 サーバーまたはワークステーションに対する管理者権限を持ってはなりません。
  5. ローカルのAdministratorsグループに個々のユーザーアカウントを追加することはお勧めしません。 ドメインセキュリティグループを使用することをお勧めします。 この場合、次のテクニカルサポート従業員に管理者権限を付与するには、その管理者をドメイングループに追加するだけで十分です(GPOを編集する必要はありません)。

The post Windowsのローカル管理者グループへのドメインユーザーの追加 appeared first on Gamingsym Japan.