企業などで各パソコンの管理をしたい時には管理者アカウントを作成して、ドメインのAdministratorsグループにメンバーとして追加する方法が最もポピュラーだと思いますし、Windows Serverなどの講習会でもその方法が教えられていると思います。
今日は、別の方法をご紹介したいと思います。
その方法は「グループポリシー」を使う方法です。各クライアントに管理者アカウントを追加する際には、各パソコンのAdministratorsグループにアカウントを追加します。この作業をドメインポリシーで一括して行うことができるのです。
その指定方法ですが、「Windowsの設定\セキュリティの設定\制限されたグループ」に、グループBUILTIN\Administratorsを追加して、そのグループに対象ユーザーを追加します。
制限されたグループ(日本マイクロソフト公式サイト)
制限されたグループには2通りの設定があります。
「このグループのメンバー」と「このグループの所属」です。
「制限されたグループ」の設定項目
設定項目 | 説明 |
このグループの メンバー |
ローカル グループのメンバーを制限するために使用されます。 ここに記載されたメンバーのみがグループに所属されることになります。 |
このグループの 所属 |
ドメインのグループを強制的にサーバー/PC のローカル グループに追加することができます。 既存メンバーは追加されたままとなり、削除されません。
|
このグループのメンバーを使う利点として、管理者アカウントを追加するというよりは、その名の通りクライアントのグループを制限できるということかと思います。
というのは、通常は各クライアントにて管理者権限を持っていると、グループを編集して権限を持ったアカウントの追加や削除ができることはご存知だと思います。また、ドメインポリシーは通常90分に一度サーバーからクライアントに同期しています。この同期のタイミングでクライアント側で書き換えられたグループの変更内容がリセットされてしまいます。よって、各クライアントで勝手な変更をされたくない場合に有効に使えると思います。