ADの管理者アカウントついて奥が深い回答

ADの管理者アカウントにも奥が深いものがある。UAC（ユーザーアカウント制御）についても奥が深い。

 

（質問）

「Windows2008 AD環境」での管理者アカウントについて

 

お世話になっております。

「Windows2008 AD環境」での管理者アカウントについて質問があります。

 

[環境]

Windows2008 Standard sp1(ドメインコントローラ)

シングルフォレストシングルドメイン環境

 

 

[質問①]

Administratorとは別に管理者権限のあるアカウントを作成し、運用する予定でおります。

administratorとまったく同じ権限のアカウントを作成する方法をご教授いただけないでしょうか？

 

アカウントを作成し、AdministratorsグループおよびDomain Adminsのグループに所属させたのですが管理用ツール等使用する際など、ユーザーアカウント制御のポップアップが表示されたり、特定のフォルダ内で新規ファイルを作成できなかったりと何かしらの制限がありadministratorとは同じ権限のアカウントにならない状況です。

 

また、できればセキュリティを考慮してユーザーアカウント制御は有効のまま運用したく思っております。

 

 

[質問②]

Administrators・Domain Admins・Enterprise Adminsの権限の違いについてご教授いただけないでしょうか？

 

下記、サイトにて確認したのですがこれは可能、これは不可など権限の線引きがわかるサイト等が、もしあればご紹介頂けないでしょうか？

 

http://technet.microsoft.com/ja-jp/library/cc756898(WS.10).aspx

 

以上

宜しくお願い致します。

 

－－－－－－－－－－－－－－－－－－－－－－－－－－－
（回答１）

お世話になっております。

Windows Server 2003 AD環境の運用・保守担当者です。

Windows 2008 も、Bultin権限に関してそう変更はなかろう・・・というところから、以下記載します。

質問①　Builtin\Administrator と同じ権限のIDを作成できるか

基本的に、ドメインコントローラでは以下のグループに所属していることで、Builtin\Administrator(規定)と同等の権限を有します。

但し、Builtin\Administrator は予約されたSID - 500 を有しているため、全く同じ "動き" をするものを作る・・というのは難しいです。

SID - 500 は、他サードパーティー製アプリケーションなどから、"特権ID"として識別されることもあります。

そのため、"特権IDで起動する" というような仕様のサードパーティー製アプリケーションの場合、Builtin\Administrator が選択/使用されるケースを体験したことがあります。

規定では、以下のグループに入っていることで、Builtin\Administrators と同等の権限をAD環境下で持つことになります。

・Administrators:

そのコンピューターに対して、管理権限を有します。オブジェクトの作成・変更・削除に加えて、所有権の奪取等

 

・Domain Admins:

Administratorsとの違いは、そのドメイン・メンバー(規定)にたいして、Administratorsと同等の権限を行使できることです。更に、これに加えてドメインレベルでのADの重要な変更に関する権限も有します。(一部FSMOロールの強制移行など)

 

・Enterprise Admins:

Domain Admins との違いは、そのフォレスト・メンバー(規定)に対して、Administratorsと同等の権限を行使できることです。　更に、これに加えてフォレストレベルでのADの重要な変更に関する権限も有します。(フォレスト機能レベルの変更など)

 

・Group Policy Creator Owners:

ドメインのGOPの変更権限を持ちます。ドメインのGOPを作成できるということは、メンバーに対してポリシーを強制することも可能なため、強力な特権として表現されます。

 

・Schema Admins:

ドメインのAD データベースを操作する権限を持ちます。

これは特殊な権限で、Administrators, Domain Admins では操作できないことが操作できます。

たとえば、FSMOの強制転送 - スキーマ・マスタの役割転送は、この権限がなければ、失敗します。(失敗しました・・・)

 

なお、ユーザーアカウント制御については Windows 2008 からの機能となるかと思います。

こちらについては、勉強不足で申し訳ありません。

ファイルが作成できないという問題については、作成しようとしたオブジェクトの種類や場所によっても異なりますが、

NTFSのアクセス制御下にある通常のファイルであれば Administrators グループメンバーは、たとえ権限が付与されていないオブジェクトに対しても

オブジェクトの所有権限を奪取することで、権限の再付与が可能です。

方や、ADのデータベース(スキーマ)や、GOPに関する操作についてでしたら、上記権限を参考ください。

質問②　特権の線引きについて

上記に記載した通りとなります。

基本的には、○○○○様の参考された

<http://technet.microsoft.com/ja-jp/library/cc756898(WS.10).aspx>が正規の資料となりますが、

ADに関連する操作(特に特殊な権限が必要な場合の操作)については、↓を参考されるとよいかもしれません。(既にご確認済みであれば申し訳ありません。)

http://technet.microsoft.com/ja-jp/library/cc758915%28WS.10%29.aspx

以上、何かのご参考になれば幸甚です。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－
（回答２）

××××です。

 

UAC について、ちょっと補足しますね。

ビルトインAdministratorでない「同じ権限のユーザ」でもUACのポップアップをはずしたい、というなら、AAM(管理者承認モード)機能を使ってみてはどうでしょうか？したのページで探してみてください。

http://technet.microsoft.com/ja-jp/library/cc772207(WS.10).aspx

 

http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/53793baa-b0c8-4080-bda1-92162e25615d/#e570e8b0-b483-4884-a0cb-c9b708fbb159