8.1.5 ユーザーマッピングを設定する前にOSユーザーにユーザー権利を与える
ユーザーマッピングは,JP1ユーザーとOSユーザーを対応づける機能です。Windowsの場合,ユーザーマッピングを設定する前に,ユーザーマッピングされるOSユーザーにWindows特有のユーザー権利を与える必要があります。
ユーザー権利は,OSの機能を使ってOSユーザーに与えます。なお,Active Directoryを使ったドメイン環境で運用している場合と,ドメイン環境で運用していない場合で設定手順が異なります。OSユーザーに必要な権利とOSユーザーにユーザー権利を与える方法について説明します。
(1) ユーザーマッピングされるOSユーザーに必要なユーザー権利
(2) OSユーザーにユーザー権利を与える方法
OSユーザーにユーザー権利を与える方法は,Active Directoryを使ったドメイン環境で運用している場合と,ドメイン環境で運用していない場合で設定手順が異なります。また,ドメインコントローラーのあるホストとドメイン内のローカルホストとで設定手順が異なります。なお,設定によってはドメインコントローラーのあるホストでOSユーザーにユーザー権利を与えることで,ドメイン内のローカルホストでの設定が不要になります。以降で,それぞれの設定手順を示します。
- 注意事項
-
-
Active Directory環境では「ローカル ログオン」の権利は,ドメインコントローラーの既定値で,Administratorsグループに属するすべてのOSユーザーに与えられています。Administratorsグループに属するOSユーザーを使用している場合は,改めて「ローカル ログオン」のユーザー権利を設定しないでください。
-
次に示す設定手順は,一つのドメインコントローラホストの直下に複数台のローカルホストを構成している場合の設定手順です。サイトや組織単位(OU)などを構成したり,ポリシーの継承を途中でやめるなど,複雑な設定をしている場合は,この設定手順でユーザー権利を与えられないことがあります。詳しくはActive Directoryの管理者に問い合わせてください。
-
- Active Directoryを使ったドメイン環境でOSユーザーにユーザー権利を与える方法
-
Active Directoryを使ったドメイン環境でOSユーザーにユーザー権利を与える方法として,ドメインコントローラホストでユーザー権利を設定する手順,およびドメイン内のローカルホストでユーザー権利を設定する手順を次に示します。
- ドメインコントローラホストでユーザー権利を設定する手順
-
ドメインコントローラホストでユーザー権利を設定し,ユーザー権利の設定範囲をドメイン全体にする手順を次に示します。
-
ドメインコントローラホストの[Default Domain Policy]※ダイアログボックスから,与えたい権利を選択し,ドメインユーザーを追加する。
注※ Windows Server 2003の場合は,[ドメインセキュリティポリシー]
-
コマンドを使って,セキュリティポリシーの更新を反映させる。
次に示すコマンドをドメインコントローラホストおよびローカルホストで実行してください。
gpupdate /target:user
gpupdate /target:computer
反映されたかどうかは,イベントビューアで確認できます。
ドメインコントローラホストで権限を設定するため,ローカルホストでユーザー権利を設定する必要はありません。
ドメインコントローラホストでユーザー権利を設定し,ユーザー権利の設定範囲をドメインコントローラホストだけにする手順を次に示します。
-
ドメインコントローラホストの[Default Domain Controllers Policy]※,または[ローカルセキュリティポリシー]ダイアログボックスで,与えたい権利を選択し,ドメインユーザーを追加する。
注※ Windows Server 2003の場合は,[ドメインコントローラセキュリティポリシー]
-
コマンドを使って,セキュリティポリシーの更新を反映させる。
次に示すコマンドをドメインコントローラホストで実行してください。
gpupdate /target:user
gpupdate /target:computer
反映されたかどうかは,イベントビューアで確認できます。
-
- ドメイン内のローカルホストでユーザー権利を設定する手順
-
ドメイン内のローカルホストでユーザー権利を設定する手順を次に示します。
-
ローカルホストの[ローカル セキュリティ ポリシー]ダイアログボックスで,与えたいユーザー権利を選択し,ドメインユーザーを追加するコマンドを使って,セキュリティポリシーの更新を反映させる。
次に示すコマンドをローカルホストで実行してください。
gpupdate /target:user
gpupdate /target:computer
反映されたかどうかは,イベントビューアで確認できます。
-
- Active Directoryを使わない環境でOSユーザーにユーザー権利を与える方法
-
ローカルホストでユーザー権利を設定する手順を次に示します。
-
ローカルホストの[ローカル セキュリティ ポリシー]ダイアログボックスで,与えたいユーザー権利を選択し,OSユーザーを追加する。
-
コマンドを使って,セキュリティポリシーの更新を反映させる。
次に示すコマンドをローカルホストで実行してください。
gpupdate /target:user
gpupdate /target:computer
反映されたかどうかは,イベントビューアで確認できます。
-
ここでは代表的な手順を示しています。ご使用の環境によっては,手順どおりに設定できないことがあります。その場合は,OSのヘルプやOS関連ドキュメントなどを参照してください。