管理者権限など～学習ブログ⑪～

こんばんわ！SEINANです。久しぶりの投稿になってしまいました。最近は社内システムを使った業務を行っていたので投稿できませんでした！！
先日、他の支店からPCが返送されてきました。初期セットアップは済んでいて、新卒の方のアカウントが作成されていました。年季の入ったノートPCだったので新人さんに使わせるのはかわいそう・・・ということでの返送でした。故障でもないので予備機として保管することになりましたが、新人さんのアカウントを削除するということで、その流れで管理者について学びましたので記事にしたいと思います。

AD管理者、ローカル管理者

ドメイン
ユーザーがアクセスを許可される範囲の事。

ローカル管理者
PCを買ってセットアップするときは、最初にアカウントを作った人が管理者になります。それは、ローカル管理者といって、アプリをインストールしたりと、そのPCに関しての権限があります。最初はワークグループとなっていて、個人で使うPCだとこれでなんの問題もありません。しかし、会社とかになると、何十台ものPCを管理しなければなりません。複数のサーバーがある場合、それぞれのサーバーにユーザー情報が必要だったりします。そうするとホストの数だけ設定などを行わないといけないので大変です。その時に使うのがドメインになります。ドメインを作るとそれらの情報が一元管理できるようになります。管理者以外にもローカルユーザーも作れます！！

Administrator
ローカル管理者よりも上の権限を持っています。

ドメインコントローラー
そのドメインを設定すると同じドメイン内の情報を一括管理できます。それらの情報を保存しておくサーバーがドメインコントローラーです。マイクロソフト社のWindowsサーバーの機能でアクティブディレクトリ（AD）というのがあります。このアクティブディレクトリは、サービス名？ブランド名？のようなもので、その実態はドメインコントローラーとなります。
まあ、アクティブディレクトリに登録してある情報で、ドメイン内のコンピューターにログオンできるようになります！！そのドメインに参加したユーザーはローカルからドメインユーザーになります。

AD管理者
そのドメインユーザーの中でも管理者が存在しそれをAD管理者と言ったりします。ローカル管理者はそのPCの権限ですが、AD管理者はドメイン内のホストのすべてを管理できる最強の権限を持っています。

グループ分けされている

Windowsマーク右クリック→コンピュータの管理→グループの中の、Administratorsというグループがあり、そこにユーザーのアカウントがあれば、ローカル管理者となります。管理者権限をつけないユーザーを作りたいならそのグループから外せばいいです。自分のPCではコントロールパネル→アカウント→アカウントの管理　でそのアカウントを管理者にするか一般にするか選べます。
その、Administratorsからさらにdomain admin とdomain user　というグループに分けて権限を細かく分類したりもします。（これはその環境によって変わります。）domain adminはAD管理者で、domain userはドメインユーザーです。しかし、Administratorsのグループに属しているのでローカル管理者でもあります。

ドメイン内だと　AD管理者が最強→ドメインユーザー
ドメイン外だと　Administratorが最強→ローカル管理者→ローカルユーザーのようなイメージですかね！今自分がどの権限まで持っているのかというのをしっかり把握しないと管理する側の業務は行えなくなってしまいます。

このように、今の権限をちゃんと確認したうえで、システム→システム情報→ユーザープロファイル　でその新卒さんのアカウントを削除して、予備機に回しました！！

まとめ

ユーザー情報などを一元管理するためにドメインを作成し、参加します。
ドメイン内の情報はドメインコントローラー（WindowsだとAD）で管理し、ドメイン内のホストで自由にログオンなどができるようになります。
そのPCの管理者権限はローカル管理者、その上がAdministratorで、その他にも権限を持たないローカルユーザーなども作れます。だいたい一番先に登録したアカウントがローカル管理者となります。それはAdministratorsというグループに所属しています。さらにそこからグループ分けをし、ドメインに参加したらドメインユーザーとなり、その中でも最強の権限を持ったAD管理者がいます。そのグループ分けは環境によって変わります。

感想

なんか、考え方が難しい印象でした。そのAD環境の設定や構築をするようになるといってる意味がより分かるようになるのかもしれません・・・とりあえず何のためにドメインを作るのか？と、AD管理者なのか、ドメインユーザーなのか？その中でもローカル管理者なのか？というのを、確認するというのを理解しておきたいと思います。あまり自身がないので違っていたらぜひ教えてください。本日もお疲れさまでした。