特定のADユーザーがWindows Server 2003で管理者権限を持っているかどうかを確認するにはどうすればよいですか?
特定のADユーザーがServer 2003ボックスで管理者権限を持っているかどうかを確認するにはどうすればよいですか? Enterprise Editionを使用しています。
サーバーがドメインコントローラであるかどうかによって異なります。ドメインコントローラーではない場合、すべてのユーザーはローカルのAdministratorsグループのメンバーである管理者権限を持っています([コンピューターの管理]> [ローカルユーザーとグループ]を参照-管理者)
サーバーがドメインコントローラーの場合、AdministratorsグループまたはDomain AdminsグループまたはEnterprise Adminsグループのメンバーであるユーザー(ドメインのフォレストがある場合)、その特定のサーバーに対する管理者権限を持っている。 Domain Adminsグループは、デフォルトでは、ドメイン内のすべてのコンピューターのすべてのAdministratorグループのメンバーです。
ここで、 Active Directoryの組み込みグループとアカウントのリスト を見つけることができます。
管理者
オペレーティングシステムの初期インストール後、グループの唯一のメンバーはAdministratorアカウントです。コンピューターがドメインに参加すると、Domain AdminsグループがAdministratorsグループに追加されます。サーバーがドメインコントローラーになると、Enterprise AdminsグループもAdministratorsグループに追加されます。 Administratorsグループには、メンバーがシステムを完全に制御できる組み込みの機能があります。グループは、グループのメンバーによって作成されたオブジェクトのデフォルトの所有者です。
ドメイン管理者
メンバーがドメインの管理を許可されているグローバルグループ。既定では、Domain Adminsグループは、ドメインコントローラーを含め、ドメインに参加しているすべてのコンピューターのAdministratorsグループのメンバーです。 Domain Adminsは、グループのメンバーによってドメインのActive Directoryに作成されたオブジェクトのデフォルトの所有者です。グループのメンバーがファイルなどの他のオブジェクトを作成する場合、デフォルトの所有者はAdministratorsグループです。
Enterprise Admins
ドメインのActive Directoryフォレストのルートドメインにのみ存在するグループ。ドメインがネイティブモードの場合はユニバーサルグループ、ドメインが混在モードの場合はグローバルグループです。グループは、子ドメインの追加など、Active Directoryでフォレスト全体の変更を行うことが許可されています。既定では、グループの唯一のメンバーは、フォレストルートドメインの管理者アカウントです。
問題のユーザーとしてサーバーにログオンしているときに「gpresult」コマンドを実行することもできます。 (この場合可能であれば)
BUILTIN\Administratorsなど、メンバーが所属するグループのニースリストが表示されます。
サーバーのローカルグループ(サーバーのAdministratorsグループなど)は、AD経由では利用できません。サーバーのAdministratorsグループを調べる必要があります。 この投稿 には、ローカルの管理者グループをリモートで列挙するスクリプトがあります。
ボックスがメンバーサーバーの場合は、サーバーのローカルのAdministratorsグループを確認します。ドメインコントローラーの場合は、Active Directoryユーザーとコンピューターツールの管理者とドメイン管理者の両方を確認します。