Active Directory (AD)は優れたファイルとフォルダのアクセス許可、セキュリティ、管理ツールです。管理者は特定のユーザーに特定のフォルダへのアクセス許可を与えることができます。簡単に言えば、ユーザーは管理者が許可したフォルダにのみアクセスできます。これはリモートコンピュータのフォルダを管理する場合にも当てはまります。AD のアクセス許可には、標準と特殊の 2 つのカテゴリがあります。特殊なアクセス許可により、ユーザーは特定の特権とフォルダへの限定的なアクセス権を持つことができます。一方、標準のアクセス許可により、ユーザーはフォルダの書き込み、読み取り、編集、または完全な制御などの操作へのアクセス権が付与されます。この投稿では、ユーザーに対して Active Directory でアクセス許可を設定する方法について説明します。
Active Directory のアクセス許可により、個人や企業はフォルダを保護することができます。たとえば、特定のファイルは会社の HR 担当者が閲覧または変更する必要がある場合、管理者はその担当者にのみアクセス許可を付与します。したがって、セキュリティ担当者はそのようなファイルにアクセスすることはできませんし、管理者によってアクセスは許可されません。しかし、AD でアクセス許可を設定する方法がわからないユーザーもいます。フォルダを管理し、許可されたユーザーのみにアクセスを許可するための最良のヒントと手順を紹介します。読み進めてください。
ユーザーに対して Active Directory でアクセス許可を設定する方法
AD のアクセス許可を設定するには、単純だがあまり知られていない手順をいくつか実行する必要があります。これらのアクセス許可を設定するには、管理者であるか、管理者から Active Directory でのフォルダの所有権を変更するための特別なアクセス許可が付与されている必要があります。Active Directory でアクセス許可を設定する方法は 2 つあります。
- GPMC を使用してアクセス許可を設定する
- Active Directory ユーザーとコンピュータを使用する
ヒント:これらの 2 つの方法の手順は、一部のユーザーにとっては複雑すぎたり、使い勝手が悪かったりする可能性があります。一部のサードパーティの AD プログラムは使いやすく、優れた UX を備えています。取り上げた無料の Microsoft Active Directory の代替手段を試してみることをお勧めします。
これらの方法を詳しく見てみましょう。
1] GPMC を使用してアクセス許可を設定する
GPMC は Group Policy Management console の略です。これには、セキュリティとアクセス許可を設定および構成するために使用できるグループポリシー設定があります。たとえば、グループポリシーオブジェクトエディタでは、コンソールを使用してグループポリシーオブジェクトを作成できます。これは、ユーザーが特定のフォルダにアクセスすることを制限または規制するために使用できる設定のコレクションです。GPMC を使用してアクセス許可を設定するには、次の手順を実行します。
- 実行ダイアログボックスを使用してグループポリシー管理コンソールを開きます。実行を開くには、Windows キー + Rを押します。gpmc.mscと入力し、Enterキーを押すか、OKオプションをクリックします。
- グループポリシーオブジェクトアイコンを探して右クリックし、ドロップダウンメニューから新規を選択します。
- 次に、名前を入力し、ソーススターター GPOでなしに設定します。OKを選択します。
- 新しい GPO が表示されたら、それを右クリックしてドロップダウンリストからGPO の編集を選択します。
- グループポリシー管理エディタで、コンピュータの構成 > Windows の設定 > セキュリティの設定に移動します。
- ファイルシステムオプションを右クリックして、リストからファイルの追加を選択します。
- 次に、アクセス許可を設定するフォルダまたはファイルに移動して、OKをクリックします。
- データベースセキュリティウィンドウで詳細設定オプションを選択します。
- アクセス許可タブで追加を選択します。これにより、ユーザーが作成され、アクセス許可が付与されます。既存のユーザーを選択して、編集オプションをクリックすることもできます。
- 新しいウィンドウにアクセス許可のリストが表示されます。アクセス許可を許可または拒否するの横にあるチェックボックスをオンにします。
- 適用先の横にあるドロップダウンアイコンを選択します。ここで、ユーザーにアクセス許可を付与する場所を選択します。
- 最後に、OKをクリックします。これにより、プロセスが終了し、すべてのアクセス許可が保存されます。
これらの手順は、ユーザーにアクセス許可を付与するか、特権を拒否するために使用されます。ユーザーが管理者にアクセス許可を要求することなく、特定のフォルダまたはファイルへのアクセスを許可します。
2] Active Directory ユーザーとコンピュータを使用する
この方法で始める前に、委任認証のアクセス許可を設定するために使用され、Windows Server の Active Directory でのみ適用できることに注意することが重要です。Active Directory ユーザーとコンピュータオプションを使用して委任認証のアクセス許可を設定するには、次の手順に従います。
- 実行ダイアログボックスでActive Directory ユーザーとコンピュータを開きます。これを行うには、Windows キー + Rを押してdsa.mscと入力し、Enterキーを押します。
- グループ、組織単位 (OU)、またはユーザーなど、委任するオプションを右クリックし、委任の制御オプションを選択します。
- 委任の制御ウィザードで、次へを選択してから追加を選択します。
- アクセス許可を付与するユーザーのグループ名またはユーザー名を、ユーザー、コンピューター、またはグループの選択ダイアログオプションに入力します。
- AD でグループまたはユーザーを作成したことを確認するには、名前の確認を選択し、OKをクリックしてから次へを選択します。
- 同じ委任の制御ウィザードで、次の一般的なタスクを委任するの横にあるチェックボックスをオンにし、ユーザーパスワードのリセットと、次のログオン時にパスワードの変更を強制するの横にあるチェックボックスをオンにします。次へをクリックして完了をクリックして続行します。
- 変更されたグループまたはユーザーを探して右クリックし、ドロップダウンメニューでプロパティをクリックします。
- セキュリティオプションで詳細設定を選択します。詳細セキュリティ設定にある追加を選択します。
- アクセス許可エントリウィザードが表示されます。プリンシパルの選択オプションをクリックします。アクセス許可を付与してリセットするグループまたはユーザー名を指定してOKを選択します。
- 適用先で、子孫ユーザーオブジェクトを選択します。これにより、特定のユーザーに付与されたアクセス許可の一覧が表示されます。
- 下にスクロールしてRead lockoutTimeとWrite lockoutTimeを見つけます。これらの 2 つのオプションの横にあるチェックボックスをオンにして有効にします。次へを選択してからOKを選択してプロセスを完了します。
これらの手順により、ユーザーは管理ディレクトリにあるすべてのオブジェクトのパスワードを変更できるようになります。
ここで説明した内容が、ユーザーに対して Active Directory でアクセス許可を設定するのに役立つことを願っています。
ドメインオブジェクトのアクセス許可にはどのような種類がありますか?
ドメインオブジェクトのアクセス許可には、グループまたはユーザーによるアクセス許可、オペレーティングシステムプロファイルによるアクセス許可、ドメインオブジェクトによるアクセス許可の 3 種類があります。グループまたはユーザーのアクセス許可により、管理者は特定のグループまたはユーザーのアクセス許可を表示、編集、割り当てることができます。管理者は、管理ツールで OS プロファイルのアクセス許可を割り当て、編集、表示できます。ドメインオブジェクトによるアクセス許可により、管理者はドメインオブジェクト上の複数のグループまたはユーザーのアクセス許可を割り当て、編集、表示できます。
ディレクトリのアクセス許可を確認する方法を教えてください。
ユーザーのアクセス許可かオブジェクトのアクセス許可かに関係なく、MS Active Directory でアクセス許可を確認するには、プロパティタブに移動します。移動するには、スタートに移動して管理ツールを探します。Active Directory ユーザーとコンピュータを選択し、ユーザーまたはオブジェクトを探して右クリックします。新しいウィンドウで、プロパティを選択してからセキュリティオプションに向かいます。ここで、すべてのオブジェクトのアクセス許可を確認して表示できます。
コメントする