エントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
ActiveDirectoryにユーザーアカウントを作成する権限を一般ユーザー(グループ)に部分的権限委譲する - くわぞうメモ
記事へのコメント0件
- 注目コメント
- 新着コメント
このエントリーにコメントしてみましょう。
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
ActiveDirectoryにユーザーアカウントを作成する権限を一般ユーザー(グループ)に部分的権限委譲する - くわぞうメモ
特に制限を強化したくないのであれば、権限を委譲するユーザー、グループを Builtin/Account Operators... 特に制限を強化したくないのであれば、権限を委譲するユーザー、グループを Builtin/Account Operatorsグループに所属させるだけでよいのですが、 このままでは、ユーザー、グループの作成、削除、プロパティの変更など、 すべての権限が可能となっています。 そこで、一旦、Account Operatorsグループに所属させた後、 各コンテナのセキュリティタブで Account Operatorsの危険な権限を無効(削除してしまう)にしてしまうのがよいです。 無効化する権限の例としては、 【ユーザー、グループ格納用としたOU】 ・ユーザーオブジェクトの削除 (不用意な削除を防ぐ場合) ・グループオブジェクトの削除 (不用意な削除を防ぐ場合) ・コンピュータの作成、削除 (クライアントがすべてターミナルサーバーの場合) ・OU作成、削除権限の付与 (場合によっては