グループポリシーを介したローカル管理者グループへのユーザーの追加

GPOを使用できます（グループポリシー）追加 ActiveDirectoryユーザーとグループをローカルの管理者にドメインに参加しているサーバーとワークステーションのグループ。これにより、ドメインコンピュータのローカル管理者権限を、テクニカルサポートスタッフ、ヘルプデスクチーム、特定のユーザー、またはその他の特権アカウントに付与できます。この記事では、GPOを使用してドメインコンピューター上のローカル管理者グループのメンバーを管理する方法を示します。

ActiveDirectoryドメインのローカル管理者グループ

コンピューターをADドメインに参加させる場合、ドメイン管理者 グループはローカルの管理者に自動的に追加されますグループ、およびドメインユーザー グループがローカルのユーザーに追加されますグループ。

コンピューターでローカル管理者権限を付与する最も簡単な方法は、ユーザーまたはグループをローカルセキュリティグループ管理者に追加することです。 ローカルユーザーとグループを使用するスナップイン（lusrmgr.msc ）。ただし、この方法は、コンピューターの数が多く、場合によっては不要な人が特権グループのメンバーにとどまる可能性がある場合には便利ではありません。ローカル権限を付与するこの方法を使用している場合、各ドメインコンピューターのローカル管理者グループのメンバーを制御するのは便利ではありません。

次のグループを使用して、ADドメインの管理者権限を分離することをお勧めします。

ドメイン管理者 ドメインコントローラーでのみ使用されます。特権管理者アカウントのセキュリティの観点から、ドメイン管理者特権を持つアカウントでワークステーションとサーバーで日常の管理タスクを実行することはお勧めしません。これらのアカウントは、AD管理（新しいドメインコントローラーの追加、レプリケーション管理、Active Directoryスキーマの変更など）にのみ使用する必要があります。ほとんどのユーザー、コンピューター、またはGPO管理タスクは、通常の管理者アカウント（ドメイン管理者権限なし）に委任する必要があります。ドメイン管理者アカウントを使用して、ドメインコントローラー以外のワークステーションまたはサーバーにログオンしないでください。
サーバー管理者 ドメインメンバーサーバーの管理を可能にするグループです。ワークステーションのDomainAdminsグループまたはローカルAdministratorsグループのメンバーであってはなりません。
ワークステーション管理者 ワークステーションでのみ管理タスクを実行するためのグループです。 DomainAdminsグループとServerAdminsグループのメンバーであってはなりません。
ドメインユーザー 一般的なオフィス操作を実行するための一般的なユーザーアカウントです。サーバーまたはワークステーションに対する管理者権限を持ってはなりません。

ドメインユーザーまたはグループへの管理者権限の提供を完全に拒否することもできます。この場合、ADに保存されているパスワード（LAPSベース）を持つ組み込みのローカル管理者アカウントを使用して、ワークステーションで管理タスクを実行します。

特定のOU内のコンピューターに対するローカル管理者特権をテクニカルサポートとヘルプデスクの従業員のグループに付与するとします。 PowerShellを使用してドメインに新しいセキュリティグループを作成し、それにテクニカルサポートアカウントを追加します。

New-ADGroup munWKSAdmins -path 'OU=Groups,OU=Munich,OU=DE,DC=woshub,DC=com' -GroupScope Global –PassThru Add-AdGroupMember -Identity munWKSAdmins -Members amuller, dbecker, kfisher

ドメイングループポリシー管理コンソール（GPMC.msc）を開きます）、新しいポリシー（GPO）を作成します AddLocaAdmins そして、それをOUを含むコンピューターにリンクします（私の例では、「OU =Computers、OU =Munich、OU =DE、DC =woshub、DC =com」です）。

ADグループポリシーは、ドメインコンピューター上のローカルグループを管理するための2つの方法を提供します。それらを順番に調べてみましょう：

グループポリシー設定を使用したローカルグループ管理;
制限されたグループ。

GPO設定を使用してドメインユーザーをローカル管理者に追加するにはどうすればよいですか？

グループポリシー設定（GPP）は、GPOを介してドメインコンピューターのローカル管理者特権を付与するための最も柔軟で便利な方法を提供します。

AddLocaAdminsを開きます編集で以前に作成したGPO モード;
次のGPOセクションに移動します：コンピューターの構成–>設定–>コントロールパネルの設定–>ローカルユーザーとグループ;
新しいルールを追加します（新規 ->ローカルグループ ）;
更新を選択します [アクション]フィールド（これは重要なオプションです！）;
[グループ名]ドロップダウンリストで、[管理者（組み込み）]を選択します。 このグループの名前がコンピューター上で変更されている場合でも、設定はそのSID（S-1-5-32-544）によってローカルのAdministratorsグループに適用されます。;
追加をクリックしますボタンをクリックして、ローカル管理者グループに追加するグループを選択します（この場合は munWKSAdmins ）;現在のローカル管理者グループから手動で追加したユーザーとグループを削除する場合は、[すべてのメンバーユーザーを削除する]をオンにします。」と「すべてのメンバーグループを削除 」オプション。ほとんどの場合、割り当てられたドメイングループのみがドメインコンピューターの管理者権限を持つことを保証するため、合理的です。次に、「ローカルユーザーとグループ」スナップインを使用して手動でユーザーをAdministratorsグループに追加すると、次回ポリシーが適用されたときに自動的に削除されます。
ポリシーを保存し、ワークステーションに適用されるまで待ちます。ポリシーをすぐに適用するには、このコマンドgpupdate /forceを実行しますユーザーのコンピューター上;
lusrmgr.mscを開きます任意のコンピューターにスナップインし、ローカルのAdministratorsグループメンバーを確認します。 munWKSAdminsのみグループはこのグループに追加され、他のユーザーとグループは削除されます。次のコマンドを使用して、ローカル管理者のリストを表示できます：net localgroup Administrators

ポリシーがドメインコンピュータに適用されていない場合は、gpresultコマンドを使用して問題を診断します。また、コンピューターがGPOがリンクされているOUに配置されていることを確認し、「コンピューターに適用されていないグループポリシーオブジェクト」の記事の推奨事項を確認してください。

GPO WMIフィルターまたはアイテムレベルのターゲティングを使用して、特定のコンピューターでポリシーをターゲティングするための追加の（詳細な）条件を構成できます。。

2番目のケースでは、共通に移動しますタブをクリックして、アイテムレベルのターゲティングを確認します。 ターゲティングをクリックします。ここでは、ポリシーが適用される条件を指定できます。たとえば、管理者グループを追加するポリシーを、NetBIOS/DNS名にadmが含まれていないWindows10コンピューターにのみ適用したいとします。。独自のフィルタリングオプションを使用できます。

グループポリシーを介したローカル管理者グループへのユーザーの追加

このポリシーに個々のユーザーアカウントを追加することはお勧めしません。ドメインセキュリティグループを使用することをお勧めします。この場合、別のテクニカルサポート従業員に管理者権限を付与するには、それらをドメイングループに追加するだけで十分です（GPOを編集する必要はありません）。

制限付きグループを使用したローカル管理者グループの管理

制限付きグループ ポリシーでは、ドメイングループ/ユーザーをコンピューターのローカルセキュリティグループに追加することもできます。これは、ローカル管理者特権を付与する古い方法であり、現在はあまり使用されていません（グループポリシー設定方法よりも柔軟性がありません）。

編集モードでGPOを開きます;
セクション[コンピューターの構成]->[ポリシー]->[セキュリティ設定]->[制限されたグループ]を展開します;
グループの追加を選択しますコンテキストメニュー内。
次のウィンドウで、「管理者」と入力します次に、[OK]をクリックします。
[追加]をクリックします このグループのメンバー セクションを作成し、ローカル管理者に追加するグループを指定します;
変更を保存し、ユーザーのコンピューターにポリシーを適用して、ローカルの管理者を確認しますグループ。ポリシーで指定したグループのみが含まれている必要があります。

このポリシーは常に（！）ローカル管理者グループの他のすべてのメンバーを削除します（手動で追加するか、他のポリシーまたはスクリプトを使用して追加します）。制限付きグループ設定の複数のポリシーがコンピューターに対してアクティブである場合、最後のポリシーのみが適用されます。最初にmunWKSAdminsを追加することで、この制限を回避できます。グループを制限付きグループに追加してから、このグループをAdministratorsグループに追加します。

GPOを使用して特定のコンピューターのローカル管理者グループに単一のユーザーを追加する

特定のコンピューターの管理者特権を1人のユーザーに付与する必要がある場合があります。たとえば、ドライバーをテストしたり、デバッグしたり、コンピューターにインストールしたりするために、昇格された特権を必要とする開発者が何人かいます。それらをすべてのコンピューターのワークステーション管理者のグループに追加することはお勧めできません。

特定のコンピューターでローカル管理者権限を付与するには、次のスキームを使用できます。

AddLocalAdmins のGPO設定セクション（[コンピューターの構成] –>[設定]–>[コントロールパネルの設定]–> [ローカルユーザーとグループ]）の右側以前に作成したポリシーは、次の設定でAdministratorsグループの新しいエントリを作成します。

アクション ：Update
グループ名 ：Administrators (Built-in)
説明：「Add amuller to the local administrators on the mun-dev-wsk21 computer 」
メンバー ：追加-> amuller
共通 ->ターゲティング タブで、次のルールを指定します：「the NETBIOS computer name is mun—dev-wks24. これは、このポリシーがここで指定されたコンピューターにのみ適用されることを意味します。

また、グループがコンピューターに適用される順序（Order ）にも注意してください。 GPPカラム）。ローカルグループ設定は上から下に適用されます（Order 1から開始）ポリシー）。

最初のGPPポリシー（上記の「すべてのメンバーユーザーの削除」および「すべてのメンバーグループの削除」設定を使用）は、ローカル管理者グループからすべてのユーザー/グループを削除し、指定されたドメイングループを追加します。次に、指定されたユーザーをローカル管理者に追加する追加のコンピューター固有のポリシーが適用されます。管理者グループのメンバーシップの順序を変更する場合は、GPOエディターコンソールの上部にあるボタンを使用します。

Windows 10で別のユーザー（RunAs）としてプログラムを実行するにはどうすればよいですか？

Windows 10インストールイメージ（WIMファイル）から組み込みのアプリ、機能、およびエディションを削除するにはどうすればよいですか？

Windows 10 Home でローカルグループポリシーエディターを有効にする 4 つの方法
Microsoft は、 PRO を含む多数の Windows 10 エディションを提供しています。プロフェッショナル向けバージョン、ホーム Basic ユーザー向けエディション、Enterprise ビジネスおよび教育向けに設計されたエディション学生向けバージョン。では、これらをどのように区別できますか? それらすべてを区別する要因は、システムツールです。一部の特定のバージョンで利用できます。たとえば、グループポリシーエディタは、コンピューターとデバイスのユーザー設定を構成するための一連のツールであり、Windows 10 Pro、Enterprise &E
Windows 11 でローカルセキュリティポリシーを開く 6 つの方法?
Windows 11 マシンでは、ローカルセキュリティポリシーは、いくつかのセキュリティ設定を制御できる強力なツールです。しかし、このツールの使い方を理解していますか? Windows 11 でローカルセキュリティポリシーを開く最も簡単な方法のいくつかを以下に示します。 Windows 11 でローカルセキュリティポリシーを開く方法 Windows 検索を使用するデバイスでは、ほとんどの場合、Windows 検索バーを使用して何かを見つけることができます。検索ボックスにローカルセキュリティポリシーの名前を入力し、結果をクリックしてアクセスします。これらの手順を使用して、ロー