AD環境でメンバーサーバーのインストール権限

Question

AD環境でメンバーサーバーが1000台あるのですが、それらにアプリケーションをインストール・実行する必要があります。アプリケーションはセキュリティ関連のものです。
ユーザーをAD内で作成して、リモートデスクトップユーザーとServer Operatorグループに所属させましたが、担当者からインストール・実行ができないと言われました。Backup Operatorsでもいけるのではと人に言われましたが、バックアップやリストア用途でしか使えないのではと思っています（テストはしてません）
特権を使わぬよう言われているので、Domain AdminsやローカルのAdministratorsに入れないでdomain userでインストール・実行を実現する方法（グループやGPOなどで）はありますでしょうか。ご教示頂けますようお願いいたします。

Answer 1

制限されたグループで構成できるローカルの権限は Administrators に限りませんので、Power Users を指定することも可能です。Power Users の権限については以下の資料を参照してください。

セキュリティ識別子 | Microsoft Learn

『 Power Users は、ローカル ユーザーとグループを作成し、作成したアカウントを変更および削除し、ユーザーを Power Users、Users、および Guests グループから削除することができます。 また、Power Users はプログラムをインストールし、ローカル プリンターを作成、管理、削除し、ファイル共有を作成および削除することもできます。』

グループ ポリシー（セキュリティ ポリシー）のユーザー権限を個別に設定することも不可能ではありませんが、それらの権限をまとめたものがビルトイン グループとして用意されているので、そちらを利用する方が無難でしょう。

なお実際にどのようなアプリケーションのインストールを行うのかによりますが、現在のほとんどのアプリケーションは Users でユーザー単位にインストールするか、Administrators でマシングローバルにインストールするかのいずれかを想定してテストしているので、インストールでのトラブルを避けるのであれば Administrators 権限の利用を検討された方が良いかもしれません。

Answer 2

Hebikuzureさん　回答ありがとうございます。
ご教示いただきましたグループ ポリシーの「制限されたグループ」を利用した方法は知っていたのですが、これでローカルのPower usersグループも設定できますでしょうか。。。
ローカルのadministratorsは極力担当者に権限を与えたくないということで利用したくないのです。ローカルでインストール権限を持たせるにはPower usersでもできたように思えるのですが、いかがでしょうか。
GPOで「ユーザ権利の割り当て」などでインストールやアプリを操作できる権限のみを与えられたら一番よいのですが、そのような設定ありませんよね？

Answer 3

この応答は自動的に翻訳されています。 その結果、文法上の誤りや奇妙な言い回しが生じる可能性があります。

こんにちは

マイクロソフト コミュニティ フォーラムに投稿していただき、ありがとうございます。

Domain Admins またはローカル管理者を使用せずに AD 環境のメンバ サーバーにアプリケーションをインストールして実行するには、グループ ポリシーを使用してソフトウェアをデプロイします。手順は次のとおりです。

1. 配布ポイントを作成します。

• 管理者としてサーバーにログオンします。
• Windows インストーラー パッケージ (.msi ファイル) の共有ネットワーク フォルダーを作成します。
• 配布パッケージへのアクセスを許可するように、共有に対するアクセス許可を設定します。
• パッケージを配布ポイントにコピーまたはインストールします。

2. グループ ポリシー オブジェクト (GPO) を作成します。

• Active Directory ユーザーとコンピュータ スナップインを起動します。
• ドメインを右クリックし、[プロパティ]をクリックします。
• [グループ ポリシー] タブをクリックし、[新規] をクリックします。
• 新しいポリシーの名前を入力し、Enterキーを押します。
• [プロパティ] をクリックし、[セキュリティ] タブをクリックします。
• ポリシーを適用しないセキュリティ グループの [グループ ポリシーの適用] チェック ボックスをオフにします。
• ポリシーを適用するグループの [グループ ポリシーの適用] チェック ボックスをオンにします。
• [OK] をクリックします。

3. ソフトウェアパッケージを割り当てます。

• Active Directory ユーザーとコンピュータ スナップインを起動します。
• ドメインを右クリックし、[プロパティ]をクリックします。
• [Group Policy] タブをクリックし、作成したポリシーを選択して [Edit] をクリックします。
• [コンピューターの構成] で、[ソフトウェアの設定] を展開します。
• [ソフトウェアのインストール] を右クリックし、[新規] をポイントして、[パッケージ] をクリックします。
• [開く] ダイアログ ボックスで、共有インストーラー パッケージの UNC パス全体を入力します。
• 「開く」をクリックし、「割り当て済み」をクリックして、「OK」をクリックします。
• グループ ポリシー スナップインを閉じ、[OK] をクリックして、Active Directory ユーザーとコンピュータ スナップインを閉じます。

クライアント コンピュータが起動すると、管理ソフトウェア パッケージが自動的にインストールされます。

詳細については、次のドキュメントを参照してください: グループ ポリシーを使用してソフトウェアをリモートでインストールする - Windows Server |マイクロソフト ラーン

上記の情報がお役に立てば幸いです。

よろしくお願いいたします

劉 燕紅

Answer 4

回答ありがとうございます。

申し訳ないのですが、自動配布をしたい訳ではなくて、インストールやアプリを操作したいので、そういう事ができる前提でサーバーにログインさせるためのアカウントに最低限の権限を与えたいというのが目的です。

どうしたらdomain adminsやローカルadministratorsのメンバーにさせずに実現できるかお知恵を拝借させていただきたく存じます。

どうかよろしくお願いします。

Answer 5

グループ ポリシーの「制限されたグループ」を利用して、特定のドメイン グループ（ビルトインでも任意に作成したものでも可）を、ポリシーの対象となるコンピューターのローカルグループに割り当てることができます。

以下を参照してください。

• グループ ポリシー制限付きグループの説明 - Windows Server | Microsoft Learn
• 制限されたグループの制御に関して | MCTの憂鬱