以前ご紹介した、ADアカウントにローカル管理権限を設定する方法について新たなことがわかったので、情報更新です。

[ActiveDirectory]ADアカウントユーザにデフォルトでローカルユーザの管理権限を設定する方法

前回のさらっとまとめ

前回の記事では、ADアカウントが初回ログイン時からデフォルトでローカルの管理権限をもつ、すなわちAdministratorsに所属するように設定する方法をご紹介していました。

例)DomainUsersをAdministratorsに所属させる。
[制限されたグループ]の設定では、以下２パターンの設定方法があります。
①
Administratorsのメンバーシップ構成にこのグループのメンバーとして、DomainUsersを追加する方法

②
DmainUsersのメンバーシップ構成にこのグループの所属として、Administratorsを追加する方法

前回アップした記事では①、②両方向からメンバーへ所属させる方法をとっていました。
が、その後調べているとドメイン参加後のローカルAdministratorsグループをどのようにしたいか、によって設定の仕方が異なることがわかりました。

指定したユーザのみ権限を与える　or　指定したユーザ+もとのユーザにも権限を残す

① Administratorsのメンバーシップ構成にこのグループのメンバーとして、DomainUsersを追加する方法

上記の設定を行った場合、 ここで設定したユーザのみ、このキャプチャでいうDomainUsersと黒塗りしているグループの２つのグループのユーザだけに管理権限が与えられる。
そのため、もともとAdministratorsに所属していたメンバーは全て権限から外れてしまいます。
ただしAdministratorの管理権限はそのまま残ります。

ローカルでAdministratorsに所属していたメンバーは除外されてしまいました。

②
DmainUsersのメンバーシップ構成にこのグループの所属として、Administratorsを追加する方法 こちらの場合は、DomainUesrsの他にもともと設定されていたローカルユーザはそのまま残ります。
DomainUsersが新たに追加される状態です。

ローカルのAdministratorsのグループ構成を確認してみます。

既存ユーザと新たに追加したドメインユーザグループの両方がAdministratorsに入っています。

想定する利用方法に応じて使い分けが必要

ADユーザに対してデフォルトでローカルの管理権限を追加する方法は①もしくは②どちらの方法でも実現可能ですが、 ローカルユーザの管理権限をどうするのか？
によって設定の仕方が変わってきます。

ローカルユーザに管理権限を残すか残さないか、今一度確認の上設定を行うことをおすすめします。

ちなみに前回の記事で両方向から設定を行った際は、既存のローカルユーザの権限はなくなってしまいました。
おそらく①で設定した内容が優先して？反映されていた、ということになります。
今回はローカルユーザの権限を残す形でドメインユーザグループの追加を行いたかったので、パターン②の方法で設定を修正しました。