私は持っている:
- ドメイン コントローラ
- 複数のドメインユーザー
- 複数の Windows ワークステーション (このドメインのクライアント)。
Windows ワークステーションは、物理的に新しいコンピュータです。ドメインへの参加を除き、構成は何も行われていません。
理解できない点が3つあります。
Active Directory でローカル ユーザーのアクセス許可を構成する方法はありますか? たとえば、このドメイン ユーザー (またはグループ) をこの物理コンピューターの管理者にする必要があるとします。 または、各物理コンピューターで手動で行う必要がありますか?
特定のマシン上の特定のユーザーを拒否する方法はありますか? たとえば、1 台を除くすべてのワークステーションで、すべてのユーザーが RDP を使用して接続できます。
1 台のワークステーションでローカル グループのメンバーシップを手動で設定しようとしました。 理解できませんが、 と入力するとローカル グループのメンバーシップが表示されます
whoami /groups
が、コマンドの結果に空白行「Local Group Memberships」が表示されますnet user bob /domain
。 理由は何でしょうか。net user xxx /domain
ローカル グループを表示するように設計されていないのでしょうか。しかし、この場合、なぜ空白行「Local Group Memberships」が表示されるのでしょうか。 (/domain フラグなし) と入力しようとしましたnet user bob
が、このユーザーはローカルに存在しないため、エラーが発生します。
ありがとう
答え1
Active Directory でローカル ユーザーのアクセス許可を構成する方法はありますか? たとえば、このドメイン ユーザー (またはグループ) をこの物理コンピューターの管理者にする必要があるとします。 または、各物理コンピューターで手動で行う必要がありますか?
グループ ポリシーを通じて、「環境設定 > コントロール パネル > ローカル ユーザーとグループ」を使用します。(別の方法もあったと思いますが、ここでは環境設定がうまく機能し、複数の重複する GPO が独自の管理者グループを追加できるようになります。)
ただし、各コンピューターに管理者として割り当てられた特定のユーザーがいる場合は、各コンピューターで手動で実行する方が簡単な場合があります。( を使用してsc
WinRM サービスをリモートで開始し、winrs
または PowerShell Remoting を使用してリモートで呼び出すことができますnet localgroup /add
...)
もちろん、両方を使用することもできます。つまり、GPO を使用して「IT スタッフ」にローカル管理者を付与し(そして「ドメイン管理者」をローカル管理者から削除します)、割り当てられたユーザーには手動でローカル管理者を付与します。
特定のマシン上の特定のユーザーを拒否する方法はありますか? たとえば、1 台を除くすべてのワークステーションで、すべてのユーザーが RDP を使用して接続できます。
グループ ポリシーを使用して、「Windows 設定 > セキュリティ設定 > ローカル ポリシー > ユーザー権利の割り当て > [許可/拒否] リモート デスクトップ サービス経由のログオン」を構成します。デフォルトでは、管理者と「RDP ユーザー」のメンバーのみが許可されるようになっています。
これは、gpedit.msc または secpol.msc を介してマシンごとにローカルに構成することもできますが、デフォルト設定では既に「RDP ユーザー」に含まれていないユーザーは許可されていないため、代わりにグループ メンバーを追加/削除する方が簡単です。
(注: 「対話型」ログオン タイプにはローカル ログインと RDP ログインの両方が含まれますが、「ネットワーク」ログオン タイプは SMB アクセス用です。SSH をインストールする場合、通常は「対話型」として分類されますが、状況によっては「ネットワーク」になることもあります。)
1 台のワークステーションでローカル グループ メンバーシップを手動で設定しようとしました。理解できませんが、whoami /groups と入力するとローカル グループ メンバーシップが表示されますが、net user bob /domain コマンドの結果には空白行「Local Group Memberships」が表示されます。理由は何でしょうか。net user xxx /domain はローカル グループを表示するように設計されていないのでしょうか。しかし、この場合、空白行「Local Group Memberships」が表示されるのはなぜでしょうか。net user bob (/domain フラグなし) と入力しようとしましたが、このユーザーがローカルに存在しないためエラーが発生します。
ローカルメンバーシップが表示されますドメインコントローラ上で、どうやら。
これは AD 以前のドメイン (NetBIOS ベースの「NT ドメイン」など) の名残ではないかと疑っています。net.exe
その時代からのコードがまだたくさん残っているからです。OS/2 LAN Manager や NetWare (未使用の /fpnw スイッチなど) さえも記憶しています。