QA@IT

Windowsの権限について

5789 PV

administratorについて

以下の操作にてユーザーを作成し、権限設定を行いましたが、
素朴な疑問が発生です。。
(Workgroup環境です)

①PCで管理ツールより、ユーザーフォルダ内で、test01というユーザーを作成。
②作成したtest01のプロパティから所属するグループをみると、Usersグループになっているこ とを確認。
③test01をローカルのadmin権限を付与するため、グループフォルダのAdministraotrs
  のプロパティから「追加」にてtest01ユーザーをAdministratorsグループへ所属させる。
④test01ユーザーのプロパティから、所属するグループをみると、Administoratorsグループ
とUsersグループに所属している。

<質問>
(1)このAdministratorsグループとUsersグループの両方に所属していることは問題ないのでし
ょうか?test01はusersグループから削除した方がいいのでしょうか?admin権限を与えて
るわけだし。

(2)①~④はWorkgroup環境で実施したが、この状態でドメインに参加させた場合、test01はドメインのadministraotrにはならな いですよね?

ローカルadmin権限とか、ドメインadminとか、設定する手順も分からんです。

回答

(1) 一般に問題はありません。

よくある間違った情報としては、Usersを拒否したときに違いが出るというものが見られます。
その間違いとは「あるフォルダのアクセス権でUsersだけ拒否をつけた場合、Administratorsだけのユーザーならば見られるが、AdministratorsとUsersの両方に参加しているユーザーは拒否されてしまう」というものです。
細かくは書きませんが、AdministratorsNT AUTHORITY\Authenticated Usersを経由してUsersグループと関連することになるのでUsersで拒否するとAdministratorsでも拒否されます。

※ 個人的に追加した2つの異なるグループの片方に属するか両方に属するかとはちょっと状況が異なります。

(2) test01はドメインのAdministratorsグループ( Domain Adminsグループ)には追加されません。

そもそもtest01はそのドメインのユーザーとしても認められていませんので、そのコンピューターには完全な権限を持っていますが、同じドメインに参加している他のコンピュータには(同名で同じパスワードのユーザーがいないかぎり)ログインもできません。

通常省略されますが、test01が登録されているコンピューターの名前がPC01だった場合、
test01の正式名はPC01\test01です。
ここでドメイン名 domain01に test01というユーザーを追加したとします。こっちのtest01の正式名は domain01\test01であり、完全に別のユーザーです。人間で言えば名字が違うようなものです。
(実際にはこれとは別にwindowsにはSIDという内部IDがありシステム的にはこれで区別されます。PC名やドメイン名を含めてかぶっても内部IDで別物であると区別できます。PC名の場合は区別しない場合もあるみたいですが。)
長くなりましたが要するにいろいろときちんと区別されると言う事です。

参考までにドメインAdminはドメイン(というかActiveDirectory)を設定するツールなどを使ってドメインに作ったユーザーをDomain Adminsグループに参加させることで設定します。

編集 履歴 (0)
ウォッチ

この質問への回答やコメントをメールでお知らせします。