【Active Directory】ドメインユーザーとは?Domain Users や Domain Adminsも絡めて明快に解説

理解しているようで実は正確に理解できていないのがドメインユーザーだと思われます。そこで本記事ではドメインユーザーをなるべく余分な情報を排除して明快に解説します。

目次

グループアカウントの理解

ドメインユーザーを理解する上でグループアカウントの概念が大切になってきます。もし自信が無い方は下記の記事をご覧ください。

グループアカウントの作成方法と、活用することのメリット|Active Directoryの運用

ドメインユーザーとは?

ドメインユーザーとは、一般的に下の様な構図になっています。(同一ドメイン内の世界で考えてください。)

ドメインユーザーはDomain Users というAD内にあるグループに所属しています。そしてDomain Users はドメイン内の全てのコンピューターのUsers というグループに所属をしています。即ち、ドメインUserはドメイン内の全てのコンピューターのUsersグループに所属している事になります。

Usersグループに所属しているユーザーは、そのコンピューターを利用ができる(ログインができる)ので、ドメインユーザーはドメイン内の全てのコンピューターにログインができるわけなんですね。

さて、理解を深めるために実際にプロパティで確認してみましょう。

左がAD、右がドメイン参加しているコンピューターです。

ドメインユーザーのプロパティ:Domain Usersグループ に所属しています。
Domain Users グループのプロパティ:Users グループに所属しています。
Usersグループのプロパティ:所属するメンバーにDomain Usersが含まれています。ドメイン参加をしている全てのコンピューターのUsers グループにDomain Usersグループがメンバーとして登録されていますので、Domain Usersグループに所属しているドメインユーザーは全てのコンピューターにログインができるわけです。

ドメイン管理者も同じロジック

ドメイン管理者についても同じ考えで成り立っています。

あるドメインユーザーを管理者にしたい場合、Domain Admins グループに所属させます。Domain Adminsは同一ドメイン内の全てのコンピューターのAdministratorsに所属していますので、Domain Admins グループに所属したドメインユーザーはドメイン内の全てのコンピューターの管理者となることができるわけです。

別の切り口での説明

複雑なので、別の切り口で下記の記事でも説明をしています。是非ご覧ください。

ローカル管理者とドメイン管理者の違いを超簡単に説明してみた — Domain Adminsって何だ?

 

コメント

コメント一覧 (5件)

  • 自社内ネットワークにActive Directoryを使用しています。
    ※Azure AD ではありません。以前、よその板で同様の質問でぐちゃぐちゃにされたことがあるのでご注意願います。

    同僚のノートパソコン(Win10 64bit)には、
    「コンピューターの管理」の「ローカルユーザーとグループ」の「グループ」に、Administratorsとして、
    (ドメイン名)\Administrator
    (ドメイン名)\Domain Admins
    (ドメイン名)\(管理者名)
    (管理者名)
    Administrator
    の登録がなされています。

    通常、(管理者)PWはもちろん、(管理者)名も口にすることはなく(見る人が見れば分かりますが…)、
    システムの人間しか使用しません。
    システムでも、Administratorは使用せず、別で設定した(管理者)を通常使用して作業を行います。

    このPCを持ち出して出張に出ている同僚から、管理者権限を用いてプログラムのアップデートを行いたい、
    出先でどうしても行わなければならない、ということで、口外しないことを条件に、管理者名とPWを口頭で伝え、
    情報を残さないよう念押ししました。
    上長、経営者の許可はとりましたが、結局その後も管理者名、そのPWなどは変えずにいます。
    結構問題だと思うのです…。

    会社には、このように、
    「出張によく行くが、急に管理者権限が必要になることがある」ソフトを抱えたPCが複数台あります。
    いずれも、Administratorsグループの構成は同じです。

    今後同じようなことがあった場合、例えば(ドメイン名)\(別の管理者)をAdministratorsグループに登録しておき、
    出張で要請があれば、(別の管理者)名と(別の管理者)のPWを伝え、
    出先のPCの処理が完了後、直ちにサーバー側で(別の管理者)のPWを変更してしまう、ということをすれば、
    必要以上の漏洩におびえなくてもいいのでは、と考えたのですが、いかがでしょうか?
    また、その場合、サーバーの再起動をしないと画策している設定は有効にならないのでしょうか?

    「Power User」使ったら?とかは無しでお願いします。

    • 出張先からADに接続可能であれば、私なら該当ユーザーのセキュリティグループに一時的にDomain Adminsを加えます。

      >例えば(ドメイン名)\(別の管理者)をAdministratorsグループに登録しておき、、、、

      の方法ですが、ADへの接続ができないのであれば無理です。

      ひらぎんの環境は、出張先からADへの通信は可能ですか?

  • 理解が及ばずすみませんが、出張に持っていく人間がAD接続をすることができるんですね。
    クソみたいな社内パソコン係なもので、すみません。
    ADへの通信は不可能です。私も該当ユーザーも、そこまでの知識を持ち合わせていません。
    ありがとうございました。

    • 出張先から社内ネットワークへ接続する事はネットワークの設計次第で可能です。

コメントする

目次