デフォルトの状態ですと、ドメインログオンした状態ではローカルコンピュータに対してほとんど何も行うことができません ( ソフトウェアのインストールやコントロールパネルからの設定変更など ) ここではドメインから見れば一般ユーザだが、ローカルコンピュータに対しては管理者権限をもつようグループポリシーを用いて設定を行います。
任意のグループポリシーから下記の「制限されたグループ」を選択します。
以下のように設定すると、ローカルのAdministratorsグループは上書きされ、Administratorとドメイン\Domain Usersしか存在しなくなります ( それ以外のAdministratorsグループのメンバはグループから削除されます )。
・グループ名 :Administrators
・このグループのメンバ :ドメイン\Domain Users
以下のように設定すると、ローカルのAdministratorsグループに、ドメイン\Domain Usersを追加できます。
・グループ名 :ドメイン\Domain Users
・このグループの所属 :Administrators
後はこのグループポリシーを適用するために以下のコマンドを実行します。
>gpupdate ポリシーを最新の情報に更新しています... ユーザー ポリシーの更新が完了しました。 コンピュータ ポリシーの更新が完了しました。 ポリシー処理のエラーを確認するには、イベント ログを参照してください。 |
コンピュータアカウントにグループポリシーを適用した場合、コンピュータ起動時に適用されるためログオン/ログオフでは適用されません。一旦、シャットダウンして再度起動さしてください。