前のトピック: Windows エージェントレス エンドポイント上のドメイン ユーザに対する制限事項次のトピック: CA ControlMinder と SAM の高度な統合の制限

エンタープライズ管理ガイドSAM の実装計画実装時の考慮事項Active Directory エンドポイントを管理するための最小権限

Active Directory エンドポイントを管理するための最小権限

Windows で有効

Active Directory エンドポイントの管理に SAM Windows エージェントレス エンドポイント タイプを使用し、ドメイン管理者アカウントを指定しない場合、一般ユーザ アカウントを管理するために最低限必要な権限を持つ委任ユーザ アカウントを指定することができます。

例: Active Directory ユーザに、Windows Server 2008 上の他の Active Directory ユーザを管理する権限を委任

以下の例では、Windows Server 2008 上の他の Active Directory 一般ユーザを管理するための権限を一般ユーザに委任する方法を示します。

  1. [スタート]-[管理ツール]-[コンポーネント サービス]を選択します

    [コンポーネント サービス]コンソールが開きます。

  2. コンポーネント サービス リストを展開して[コンピュータ]を選択し、[マイ コンピュータ]を右クリックして[プロパティ]を選択します。

    [マイ コンピュータのプロパティ]ウィンドウが表示されます。

  3. [COM セキュリティ]タブに移動して以下を行います。
    1. [アクセス許可]セクションの[既定値の編集]ボタンをクリックします。
    2. [追加]をクリックし、アクセスを許可するユーザを選択します。
    3. [起動とアクティブ化のアクセス許可]セクションの[既定値の編集]を選択します。
    4. [追加]をクリックし、アクセスを許可するユーザを選択します。
    5. ローカル/リモートからの起動およびローカル/リモートからのアクティブ化に対して[許可]列を選択します。
    6. [OK]をクリックして、プロパティ ウィンドウを終了します。
  4. [スタート] - [管理ツール] - [Active Directory ユーザーとコンピュータ]をクリックします。 以下の手順を実行します。
    1. ユーザ リストから、ユーザ アカウントを右クリックします。
    2. [所属するグループ]タブを開き、グループへの追加を選択します。
    3. 以下のグループのメンバとしてユーザを追加し、[OK]をクリックします。
      • Domain Users
      • Distributed COM Users

    委任されたユーザのセキュリティ属性が設定されました。 次に、このユーザが管理するコンテナのセキュリティ属性を設定します。

  5. Active Directory の[ユーザーとグループ]コンソールで[ユーザー]フォルダを右クリックし、[プロパティ]を選択します。
  6. [セキュリティ]タブを開き、[ユーザーの追加]を選択して[詳細設定]をクリックします。

    セキュリティの詳細設定ウィンドウが表示されます。 以下の手順を実行します。

    1. [アクセス許可]タブでユーザを選択して[編集]をクリックします。

      [アクセス許可エントリ]ウィンドウが表示されます。

    2. [適用先]リストで、子オブジェクトを選択し、以下の許可を適用します。
      • 内容の一覧表示
      • すべてのプロパティの読み取り
      • すべてのプロパティの書き込み
      • アクセス許可の読み取り
      • アクセス許可の修正
      • パスワードの変更
      • パスワードのリセット
    3. [OK]をクリックして、プロパティ ウィンドウを終了します。

    [ユーザー]コンテナ内のユーザのセキュリティ属性が設定されました。

  7. コマンド プロンプト ウィンドウから、コマンド wmimgmt を実行し、WMI コントロール コンソールを開きます。 以下の手順を実行します。
    1. [WMI コントロール]を右クリックし、[プロパティ]を選択します。

      [WMI コントロールのプロパティ]ウィンドウが表示されます。

    2. [セキュリティ]タブを開き、ルート ディレクトリを展開します。
    3. ディレクトリを選択して[セキュリティ]ボタンをクリックします。
    4. [追加]をクリックし、編集しているユーザ アカウントを追加して、Root 名前空間および副名前空間に対して、セキュリティの読み取りに以下の許可を追加します。
      • 部分的書き込み
      • プロバイダによる書き込み
      • アカウントの有効化
      • リモートの有効化
    5. WMI コントロール コンソールを閉じます。
  8. コマンド プロンプト ウィンドウで、regedit ユーティリティを実行して、以下のレジストリ エントリを開きます。 
    HKEY_CLASSES_ROOT¥CLSID¥{76A64158-CB41-11D1-8B02-00600806D9B6}

    HKEY_CLASSES_ROOT¥CLSID¥{233664b0-0367-11cf-abc4-02608c9e7553}
  9. 各レジストリ キーを右クリックして、[アクセス許可]を選択します。

    [アクセス許可]ウィンドウが表示されます。

  10. ユーザをリストに追加し、キーおよびすべての子オブジェクトに対してフル コントロールを割り当てます。
  11. [OK]をクリックして regedit ユーティリティを閉じます。

    Active Directory 一般ユーザに対して、他の一般 Active Directory ユーザを管理する権限が委任されました。