委任された特権を実装する

完了

Contoso 向けに IT セキュリティ専門家の会社が作成したレポートを調査します。 Enterprise Admins や Domain Admins などの高い特権グループのメンバーであるユーザー アカウントには、すべてのシステムとデータへのフル アクセス権が付与されていることがわかります。 これらのアカウントは、厳重に保護されている必要があります。

ただし、職務を遂行するために特定の管理者権限が必要なユーザーもいます。 たとえば、ヘルプ デスクのスタッフは、通常のユーザーのパスワードをリセットし、アカウントのロックを解除できる必要があります。一方、一部の IT スタッフは、クライアントまたはサーバーにアプリケーションをインストールしたり、バックアップを実行したりする責任があります。

Active Directory とメンバー サーバーには、事前に定義された特権が割り当てられた組み込みグループ (Backup Operators や Account Operators など) がありますが、ニーズに合っていない可能性があります。 ここで、このような制限付き管理アクセスを提供する最適な方法を決定する必要があります。

制御の委任ウィザードを使用する

委任された特権では、特定のユーザーまたはグループに制限付き権限を付与する方法が提供されます。 制御の委任ウィザードを使用すると、より詳細な特権をユーザーまたはグループに委任できます。 このウィザードを使用すると、サイト、ドメイン、または組織単位のレベルでアクセス許可を割り当てることができます。 このウィザードには、割り当て可能な次の事前定義タスクがあります。

• ユーザー アカウントを作成、削除、および管理する。
• ユーザーのパスワードをリセットし、次回サインイン時にパスワードの変更を要求する。
• すべてのユーザー情報を読み取る。
• グループを作成、削除、および管理する。
• グループのメンバーシップを変更する。
• コンピューターをドメインに参加させる (ドメイン レベルでのみ実行可能)。
• グループ ポリシーのリンクを管理する。
• ポリシーの結果セットを生成する (計画)。
• ポリシーの結果セットを生成する (ログ)。
• inetOrgPerson アカウントを作成、削除、および管理する。
• inetOrgPerson パスワードをリセットし、次回サインイン時にパスワードの変更を要求する。
• すべての inetOrgPerson 情報を読み取る。

また、アクセス許可を組み合わせて、カスタム タスクを作成して割り当てることもできます。

制御の委任ウィザードを起動するには、[Active Directory ユーザーとコンピューター] を開き、制御を委任する組織単位 (OU) を見つけます。

注意

ドメイン オブジェクトの制御を委任することもできます。

ヒント

サイトの制御を委任するには、[Active Directory サイトとサービス] ツールを使用して制御を委任します。

その後、次の手順に従います。

1. OU の横にあるコンテキスト メニューを右クリックまたはアクティブ化し、[制御の委任]、[次へ] の順に選択します。

2. 制御の委任ウィザードで、制御を委任するユーザーまたはグループを選択し、[次へ] を選択します。

   ヒント

   特定のユーザーに権限を割り当てないようにする必要があります。 代わりに、グループにユーザーが 1 人しか含まれていない場合でも、グループを使用する必要があります。 これにより、継続的な管理が容易になります。

3. [委任するタスク] ページで、一般的なタスクの一覧から選択するか、委任するカスタム タスクを選択します。 たとえば、ユーザー アカウントを管理する機能を委任するには、次のように選択します。

   • ユーザー アカウントを作成、削除、および管理する。
   • ユーザーのパスワードをリセットし、次回ログオン時にパスワードの変更を要求する。
   • すべてのユーザー情報を読み取る。

4. [完了] を選択します。

重要

委任されたアクセスを割り当てたら、制御の委任ウィザードを使用して設定を確認できません。

以前に構成した委任されたタスクを確認するには、次の手順に従います。

1. [Active Directory ユーザーとコンピューター] のメニューで [表示]、[高度な機能] の順に選択します。
2. 委任した OU を見つけます。 コンテキスト メニューを右クリックまたはアクティブ化し、[プロパティ] を選択します。
3. [OU 名のプロパティ] ダイアログ ボックスで、[セキュリティ] タブ、[詳細] の順に選択します。
4. 制御を委任したセキュリティ プリンシパルを見つけ、アクセス許可を確認します。 ここで、委任されたアクセス許可を変更することもできます。

注意

制御の委任ウィザードには、AD DS オブジェクトに対する AD DS アクセス許可を構成するための単純なウィザード駆動型インターフェイスが用意されています。

デモンストレーション

次のビデオでは、制御の委任ウィザードを使用して委任された特権を実装する方法について説明します。 このプロセスの主な手順は次のとおりです。

1. [Active Directory ユーザーとコンピューター] を開きます。
2. [マネージャー] OU で Sales Managers という新しいグループを作成します。
3. Sales Managers グループにユーザーを追加します。
4. [営業] OU を対象として、制御の委任ウィザードを実行します。
5. [営業] OU で [ユーザーのパスワードをリセットして次回ログオン時にパスワードの変更を要求する] アクセス許可を Sales Managers グループに割り当てます。
6. Sales Managers グループのメンバーとしてサインインし、ユーザーが [リサーチ] OU ではなく、[営業] OU でユーザーのパスワードをリセットできることを確認します。

クイック レビュー

1.

Contoso の IT の管理者の 1 人が、コンピューターの管理を IT サポートの小規模なチームに委任する必要があります。 コンピューターはすべて営業部門にあり、アカウントは営業 OU に存在します。 ベスト プラクティスに従うと、どのように管理者は処理する必要がありますか。

営業用コンピューター管理チームのグループを作成し、営業 OU でそのチームに対するカスタム タスク委任を作成します。 カスタム タスクはコンピューター オブジェクト用です。

営業用コンピューター管理チームのグループを作成し、営業 OU でそのチームに対する共通タスク委任を作成します。

営業 OU の営業用コンピューター管理チームで、ユーザーに対するカスタム タスク委任を作成します。 カスタム タスクはコンピューター オブジェクト用です。

作業を確認する前にすべての問題に回答する必要があります。