Windows Server 2008フォーラム、Windows 7 OSのドメイン参加に関する不可解な質問

Windows 7　ＯＳ自体の不具合なのか、ＯＥＭ版ＰＣ製造メーカーのセキュリティ強化のための創意によるものなのか？

 

（質問）

ＷｉｎｄｏｗｓServer２００８（３２bit）のドメイン参加でお尋ねです。（クライアントは７です）

 

素人質問になり申し訳ありませんがお世話になります。

今回クライアントのOSがPro系に統一されることになり、
ドメイン参加にてユーザ管理などを行いたいと考えました。

過去にWindows２０００Serverでドメイン構成をした経験がありますが、
この頃のクライアントは９Ｘでしたので、難なくドメインへの参加ができました。

今回、Windows７Professionalにてドメインへの参加を試みたところ、参加はできる物の、
ソフトのインストールやアップデート、設定変更などに権限がないと言われできません。

ドメイン参加する際のユーザーをAD上でadministratorsグループに参加させてみたり、
ローカルログオンで参加ユーザーを管理者にしたり、
ドメインへadministratorでログオンしてみたりしましたが状況は変わらずでした。

おそらくサーバ上のセキュリティポリシーの設定によるのだと思われますが、
その理解であっていますでしょうか？

ポリシーの問題だとすると、administratorでログオンしているのに
インストールや設定変更ができないのが分からず、悩んでいます。

アドバイスなどよろしくお願い申し上げます。

なお、ローカルでログオンし、ソフトインストールやアップデートを行えば
ドメイン参加状態でも反映されます。

 

――――――――――――――――――――――――――――――――――――――

（高度な回答）

ドメインのAdministratorsではなくDomain Adminsにユーザーを追加すれば、自動的にクライアントの管理者権限を持つことはできるはずですが、一般的にはすべてのドメインユーザーをDomain Adminsにはしませんので、以下の手順で特定のドメインユーザーをクライアントのAdministratorsグループにドメインユーザーを追加してみるとどうでしょうか
[手順]
クライアントに管理者権限のあるローカルユーザーでログオンし、[コンピューターの管理][ローカルユーザーとグループ][グループ]でAdministratorsに、ドメイン名\ユーザー名を追加すれば、ドメインユーザーにローカル管理者権限が与えられます(推奨はしませんが全ドメインユーザーに対して行う場合には、ドメイン名\Domain Usersを追加します)。

ただ、ローカルログオンで参加ユーザーを管理者にしても、ドメインへAdministratorでログオンしてもだめだったのであれば別の原因がありそうな感じですが・・・。


上記設定がうまくいく環境であれば、グループポリシーで自動的に行うこともできるはずです。
クライアントのコンピュータアカウントを集めたOUに対して、グループポリシーの[コンピュータの構成][Windows の設定][セキュリティの設定][制限されたグループ]で以下を設定します。

以下のように設定すると、ローカルのAdministratorsグループに、ドメイン\Domain Usersを追加できます。
・グループ名　　　　　　：ドメイン\Domain Users
・所属するグループ　　：Administrators

以下のように設定すると、ローカルのAdministratorsグループには、Administratorとドメイン\Domain Usersしか存在しなくなります(それ以外のAdministratorsグループのメンバはグループから削除されますので注意してください)。
・グループ名　　　　　　：Administrators
・このグループのメンバ：ドメイン\Domain Users

 

――――――――――――――――――――――――――――――――――――――

（結論）

こんばんは。答えてねっと時代から、お世話になりありがとうございます。

今回ご呈示頂いた設定をすべて試してみましたが、
状況は変わらずです。

今日触っていて新たに分かったことの付け加えです。

・別用途の別機種（OSは７Enterprise）ではドメイン参加すら拒否される。

・Adobe Reader起動時に、ローカル（そのコンピュータに）ログオンでは、
　新規作成したユーザ名（ドメイン登録してある物と同じ）では
　アップデートの有無をチェックの項目が出るのに、
　ドメインへログオンすると項目が表示されない。

などです。

２０００Serverでドメイン運用の頃はセキュリティも今よりもあまり重要視されていなかったこと、
その後使っていた２００３ではドメイン運用してなかったこと。
（ＸＰ　HOMEのOSが混在していたためできなかった）

などから、２００８ではかなりデフォルトでセキュリティ対策が強くかけてあるのかと思いましたが、
GOP上での設定を見た限りadministratorであればデフォルト状態でも
ＰＣの設定変更が可能のようですね・・・。

もしかしたら、今回の７ＰＣのデフォルト設定で、特別な事がしてあるのかも知れません。
（今回業者から直の納品ではなく、本社を通じての納品なので）

一度、メーカと本社に詳細を確認してみたいと思います。

見直すポイントが分かりましたので感謝いたします。
ありがとうございました。

http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2008ja/thread/41cca264-1d51-4c7e-8ee4-1ae1423f5d88