ローカル管理者とドメイン管理者の違いを超簡単に説明してみた — Domain Adminsって何だ？

結構分かりにくいので、ローカル管理者とドメイン管理者との違いについて纏めてみたいと思います。

Adminの定義を確認

adminの定義を曖昧にしていると本記事の内容は理解し難いです。Adminの定義について以下の記事で解説していますのでご一読ください。

アドミン（admin）とは？曖昧な理解に終止符を！定義を分かり易く解説

ローカル管理者って何？

ローカル管理者とはAdministratorsというグループに所属したユーザです。

グループとは何？って方はグループアカウントの作成方法と、活用することのメリット｜Active Directoryの運用を参照してください。

コンピュータ１台毎にAdministratorsというグループが初めからあるんですが、そこに所属しているユーザがローカル管理者ということになります。

分かり易い話として、Administratorというユーザが通常「アドミン権限」等と言われてAdministratorsに所属しています。下図を見ると分かると思いますが、Administratorのプロパティを見ると所属グループがAdministratorsになっています。ユーザを新規で作成して、Administratorsに所属させればその新規ユーザはローカル管理者ということになります。PC設定のデフォルトでAdministratorがローカル管理者に設定されています。

ドメイン管理者って何？

ドメイン管理者とはDomain Adminsというグループに所属したユーザです。

Domain Adminsに田中さんを所属させれば田中さんがドメイン管理者ということになります。ちなみにDomain Adminsはドメインコントローラー内にしかありません。

Domain Adminsはドメイン内の全てのコンピュータのAdministrators権限を持っているので、言い換えるとドメイン内の全てのコンピュータの管理をする事ができる非常に強力な権限です。通常はシステム管理者だけが、持っている権限となります。

下図が分かり易いと思います。Domain Adminsに所属するユーザSさんはPC１とPC2両方のAdministrators権限を持っているので、PC1とPC2両方の管理が可能です。trip.co.jpドメイン内の全てのコンピュータの管理が可能です。

ユーザBさんについては、PC1のAdministratorsにしか所属していないので、PC2の管理はできません
いかにDomain Adminsが強力な権限なのかが分かります。むやみは付与するのは不味いということを覚えておいてください

上記で説明した内容を理解すれば、他にも権限が複数ありますが、応用が効きますし、管理者としては運用がし易すくなります。

私自身もなんとなくの理解だったんですが、最近正確に理解したところです。

また、そもそもWindowsの権限について以下の記事で解説していますので、宜しければご参考にしてください。

Windowsの管理者権限（Administrators）とユーザー権限(Users)の違いを噛み砕いて説明してみた

ドメインユーザーに特化した解説

ドメインユーザーに焦点を絞った解説を下記記事でしています。本記事の内容がしっくりこない場合一読ください。

【Active Directory】ドメインユーザーとは？Domain Users や Domain Adminsも絡めて明快に解説