ActiveDirectoryで作業用の一時管理者権限アカウントを作成時に注意すべきたった１つのこと！

ActiveDirectory運用では、普通は一般ユーザには管理者権限は与えない場合が多いはず。

弊社では、業務に必要なソフトをユーザがインストールするような場合、管理者パスワードを知っている情報担当者が（リモートデスクトップ等で）インストール作業時のユーザ／パスワード入力のみをするという手法をとっているが、これでも対応しきれない場合がある。

たとえば部署全体で使う複合機を交換する場合などは全ＰＣのドライバをインストールしなおさなければならないなどがそれ。いくらリモート作業といっても手に負えない。
（ＡＤをプリンターサーバにするという話はここではおいておく）

そういった場合、ActiveDirectoryで作業用の一時管理者権限アカウントを作成し、複合機の導入業者さんに渡し、ドライバのインストール作業までやってもらうという方法がスマートである。

このようなアカウントをどうやってつくるか？

以下の手順でできる。

１．ＡＤサーバにて「ActiveDirectory ユーザとコンピューター」を開く
２．ユーザを適当に１つ作成する。（ここでは期限付きが望ましい、また、作業用とわかるようなユーザ名やパスワードをつけること）
３．そのユーザを右クリック⇒「プロパティ」⇒「所属するグループ」タブにて「追加」ボタン⇒「Domain Admins」を追加する。

これで、クライアント側でインストーラを実行し、２で決定したユーザ名とパスワードでインストールが可能か確認

インストールができない場合、

そのユーザの「所属するグループ」に「Domain Users」があり、そちらが「プライマリグループ」になっていないかを確認する。（←ここで小１時間ハマった！）