2008年11月16日
Tweet
先日の記事に関連して。
僕が管理しているActiveDirectory環境環境はだいたい以下のような感じになっています。
■IPアドレスの変更について
基本的に社員の人には限定した権限のみを与えるようになっています。しかしながら、一時的にIPを変えたりなど、それぐらいはできないとメンテナンスが困る社員の人もいます。
ソフトを利用する関係で、IPアドレスを変更したい。そのように相談を受けました。IPをいじられると管理上面倒なので、できれば避けたいのですが、そのユーザーのみと言うことで、ちょっと調べてみました。
すると、Network Configuration Operators のグループに所属していれば、IPアドレスの変更が可能になるということです。
ということで、そのユーザーさんには、ドメインコントローラー側でこのグループに所属してもらいました。
■リモートデスクトップを許可するとき
障害の内容と該当するPC名の連絡を受ける。
基本はリモートデスクトップで接続し、Administratorの権限を持つアカウントでログオンする。
しかしユーザー固有のトラブル(アプリの操作がわからない等)の場合には、該当ユーザーでのログオンを行います。パスワードは一覧で管理しているので・・。
そのときに、Remote Desktop Users の権限が無いと、「このシステムのローカルポリシーは、このユーザーが対話的にログオンすることを許可していません。」とエラーが出てしまいます。
これを解決するために、そのユーザーを一時的にRemote Desktop Usersのグループに追加するのです。そうすることによって、リモートデスクトップを行う事ができるようになります。なお、僕はこのときにローカルPCのグループに対して行うので、そのPCのみ可能になります。

僕が管理しているActiveDirectory環境環境はだいたい以下のような感じになっています。
■IPアドレスの変更について
基本的に社員の人には限定した権限のみを与えるようになっています。しかしながら、一時的にIPを変えたりなど、それぐらいはできないとメンテナンスが困る社員の人もいます。
ソフトを利用する関係で、IPアドレスを変更したい。そのように相談を受けました。IPをいじられると管理上面倒なので、できれば避けたいのですが、そのユーザーのみと言うことで、ちょっと調べてみました。
すると、Network Configuration Operators のグループに所属していれば、IPアドレスの変更が可能になるということです。
ということで、そのユーザーさんには、ドメインコントローラー側でこのグループに所属してもらいました。
■リモートデスクトップを許可するとき
障害の内容と該当するPC名の連絡を受ける。
基本はリモートデスクトップで接続し、Administratorの権限を持つアカウントでログオンする。
しかしユーザー固有のトラブル(アプリの操作がわからない等)の場合には、該当ユーザーでのログオンを行います。パスワードは一覧で管理しているので・・。
そのときに、Remote Desktop Users の権限が無いと、「このシステムのローカルポリシーは、このユーザーが対話的にログオンすることを許可していません。」とエラーが出てしまいます。
これを解決するために、そのユーザーを一時的にRemote Desktop Usersのグループに追加するのです。そうすることによって、リモートデスクトップを行う事ができるようになります。なお、僕はこのときにローカルPCのグループに対して行うので、そのPCのみ可能になります。