物理マシン上のドメインユーザー権限

物理マシン上のドメインユーザー権限

私は持っている:

  • ドメイン コントローラ
  • 複数のドメインユーザー
  • 複数の Windows ワークステーション (このドメインのクライアント)。

Windows ワークステーションは、物理的に新しいコンピュータです。ドメインへの参加を除き、構成は何も行われていません。

理解できない点が3つあります。

  • Active Directory でローカル ユーザーのアクセス許可を構成する方法はありますか? たとえば、このドメイン ユーザー (またはグループ) をこの物理コンピューターの管理者にする必要があるとします。 または、各物理コンピューターで手動で行う必要がありますか?

  • 特定のマシン上の特定のユーザーを拒否する方法はありますか? たとえば、1 台を除くすべてのワークステーションで、すべてのユーザーが RDP を使用して接続できます。

  • 1 台のワークステーションでローカル グループのメンバーシップを手動で設定しようとしました。 理解できませんが、 と入力するとローカル グループのメンバーシップが表示されますwhoami /groupsが、コマンドの結果に空白行「Local Group Memberships」が表示されますnet user bob /domain。 理由は何でしょうか。net user xxx /domainローカル グループを表示するように設計されていないのでしょうか。しかし、この場合、なぜ空白行「Local Group Memberships」が表示されるのでしょうか。 (/domain フラグなし) と入力しようとしましたnet user bobが、このユーザーはローカルに存在しないため、エラーが発生します。

ありがとう

答え1

Active Directory でローカル ユーザーのアクセス許可を構成する方法はありますか? たとえば、このドメイン ユーザー (またはグループ) をこの物理コンピューターの管理者にする必要があるとします。 または、各物理コンピューターで手動で行う必要がありますか?

グループ ポリシーを通じて、「環境設定 > コントロール パネル > ローカル ユーザーとグループ」を使用します。(別の方法もあったと思いますが、ここでは環境設定がうまく機能し、複数の重複する GPO が独自の管理者グループを追加できるようになります。)

ただし、各コンピューターに管理者として割り当てられた特定のユーザーがいる場合は、各コンピューターで手動で実行する方が簡単な場合があります。( を使用してscWinRM サービスをリモートで開始し、winrsまたは PowerShell Remoting を使用してリモートで呼び出すことができますnet localgroup /add...)

もちろん、両方を使用することもできます。つまり、GPO を使用して「IT スタッフ」にローカル管理者を付与し(そして「ドメイン管理者」をローカル管理者から削除します)、割り当てられたユーザーには手動でローカル管理者を付与します。

特定のマシン上の特定のユーザーを拒否する方法はありますか? たとえば、1 台を除くすべてのワークステーションで、すべてのユーザーが RDP を使用して接続できます。

グループ ポリシーを使用して、「Windows 設定 > セキュリティ設定 > ローカル ポリシー > ユーザー権利の割り当て > [許可/拒否] リモート デスクトップ サービス経由のログオン」を構成します。デフォルトでは、管理者と「RDP ユーザー」のメンバーのみが許可されるようになっています。

これは、gpedit.msc または secpol.msc を介してマシンごとにローカルに構成することもできますが、デフォルト設定では既に「RDP ユーザー」に含まれていないユーザーは許可されていないため、代わりにグループ メンバーを追加/削除する方が簡単です。

(注: 「対話型」ログオン タイプにはローカル ログインと RDP ログインの両方が含まれますが、「ネットワーク」ログオン タイプは SMB アクセス用です。SSH をインストールする場合、通常は「対話型」として分類されますが、状況によっては「ネットワーク」になることもあります。)

1 台のワークステーションでローカル グループ メンバーシップを手動で設定しようとしました。理解できませんが、whoami /groups と入力するとローカル グループ メンバーシップが表示されますが、net user bob /domain コマンドの結果には空白行「Local Group Memberships」が表示されます。理由は何でしょうか。net user xxx /domain はローカル グループを表示するように設計されていないのでしょうか。しかし、この場合、空白行「Local Group Memberships」が表示されるのはなぜでしょうか。net user bob (/domain フラグなし) と入力しようとしましたが、このユーザーがローカルに存在しないためエラーが発生します。

ローカルメンバーシップが表示されますドメインコントローラ上で、どうやら。

これは AD 以前のドメイン (NetBIOS ベースの「NT ドメイン」など) の名残ではないかと疑っています。net.exeその時代からのコードがまだたくさん残っているからです。OS/2 LAN Manager や NetWare (未使用の /fpnw スイッチなど) さえも記憶しています。

関連情報