TechNote

情シスの覚え書き

ActiveDirectoryで作業用の一時管理者権限アカウントを作成時に注意すべきたった1つのこと!

ActiveDirectory運用では、普通は一般ユーザには管理者権限は与えない場合が多いはず。

弊社では、業務に必要なソフトをユーザがインストールするような場合、管理者パスワードを知っている情報担当者が(リモートデスクトップ等で)インストール作業時のユーザ/パスワード入力のみをするという手法をとっているが、これでも対応しきれない場合がある。

たとえば部署全体で使う複合機を交換する場合などは全PCのドライバをインストールしなおさなければならないなどがそれ。いくらリモート作業といっても手に負えない。
(ADをプリンターサーバにするという話はここではおいておく)

 

そういった場合、ActiveDirectoryで作業用の一時管理者権限アカウントを作成し、複合機の導入業者さんに渡し、ドライバのインストール作業までやってもらうという方法がスマートである。

 

このようなアカウントをどうやってつくるか?

 

以下の手順でできる。

1.ADサーバにて「ActiveDirectory ユーザとコンピューター」を開く
2.ユーザを適当に1つ作成する。(ここでは期限付きが望ましい、また、作業用とわかるようなユーザ名やパスワードをつけること)
3.そのユーザを右クリック⇒「プロパティ」⇒「所属するグループ」タブにて「追加」ボタン⇒「Domain Admins」を追加する。


これで、クライアント側でインストーラを実行し、2で決定したユーザ名とパスワードでインストールが可能か確認

インストールができない場合、

そのユーザの「所属するグループ」に「Domain Users」があり、そちらが「プライマリグループ」になっていないかを確認する。(←ここで小1時間ハマった!)

ひと目でわかるActive Directory Windows Server 2016版

ひと目でわかるActive Directory Windows Server 2016版

 
ひと目MS ACTIVE DIRECTORY WINDOWS SERVER 08版 (マイクロソフト公式解説書)

ひと目MS ACTIVE DIRECTORY WINDOWS SERVER 08版 (マイクロソフト公式解説書)

 
ADmitMac 2.0 アカデミック・パブリック版

ADmitMac 2.0 アカデミック・パブリック版

 
ActiveDirectoryとLinuxによるシステム構築ガイト

ActiveDirectoryとLinuxによるシステム構築ガイト