当社はソフトウェア会社であるため、サポート スタッフが別々のマシンで複数のソフトウェア インスタンスを実行できる必要があります。
通常、これを行うには、仮想マシンをクローンし、それを AD サーバーに追加して、クローン システムでローカル管理者アカウントを使用するようにします。システム管理者として、この作業の一部には私の支援が必要です。
私がやりたいことは次のとおりです。
- 指定されたユーザーがローカル ドメイン (のサブドメイン) にコンピューターを追加できるようにします。数台追加できることはわかっていますが、追加できる台数を無制限にしたいです。
- コンピュータの設定を変更することなく、追加されたコンピュータで同じユーザーが管理者権限を持つことを許可します。
これを実行する方法はありますか? これを可能にするためにドメイン内に組織単位を作成できると提案されていますが、それ以上のことはわかりません。
答え1
私は次のようにします:
- 開発者用の ACL-Local Admin という権限グループを作成する
- 開発者をグループに追加する
新しい GPO を作成し、それにグループを追加して、それを開発 OU に割り当てます。GPO を次のように編集します。
コンピューターの構成 -> ポリシー -> Windows の設定 -> セキュリティ設定 -> ローカル ポリシー -> ユーザー権利の管理 -> ドメインへのワークステーションの追加
コンピュータがデフォルトの Computers OU に残っている場合、ユーザーがローカル管理者になるのは少し難しくなります。
コンピュータを新しい OU にリダイレクトし、その OU 権限を「ACL-Local Admin for Devs」に付与することができます。必要に応じて、AD アクセスを使用してコンピュータを適切な OU に移動することができます。
次の構文を使用して、コマンド プロンプトで Redircmp.exe ファイルを実行します。ここで、container-dn は、ダウンレベル API によって新しく作成されたコンピューター オブジェクトの既定の場所となる組織単位の識別名です。
redircmp container-dn container-dn
GPO経由で権限を付与する
前と同じGPOを編集し、コンピュータOUに添付します。コンピュータの構成 -> 設定 -> コントロールパネルの設定 -> ローカルユーザーとグループ -> 新規 -> ローカルグループ
