ActiveDirectory運用では、普通は一般ユーザには管理者権限は与えない場合が多いはず。

弊社では、業務に必要なソフトをユーザがインストールするような場合、管理者パスワードを知っている情報担当者が（リモートデスクトップ等で）インストール作業時のユーザ／パスワード入力のみをするという手法をとっているが、これでも対応しきれない場合がある。

たとえば部署全体で使う複合機を交換する場合などは全ＰＣのドライバをインストールしなおさなければならないなどがそれ。いくらリモート作業といっても手に負えない。
（ＡＤをプリンターサーバにするという話はここではおいておく）

 

そういった場合、ActiveDirectoryで作業用の一時管理者権限アカウントを作成し、複合機の導入業者さんに渡し、ドライバのインストール作業までやってもらうという方法がスマートである。

 

このようなアカウントをどうやってつくるか？

 

以下の手順でできる。

１．ＡＤサーバにて「ActiveDirectory ユーザとコンピューター」を開く
２．ユーザを適当に１つ作成する。（ここでは期限付きが望ましい、また、作業用とわかるようなユーザ名やパスワードをつけること）
３．そのユーザを右クリック⇒「プロパティ」⇒「所属するグループ」タブにて「追加」ボタン⇒「Domain Admins」を追加する。

これで、クライアント側でインストーラを実行し、２で決定したユーザ名とパスワードでインストールが可能か確認

インストールができない場合、

そのユーザの「所属するグループ」に「Domain Users」があり、そちらが「プライマリグループ」になっていないかを確認する。（←ここで小１時間ハマった！）