既定では管理者権限のない一般ユーザーでもドメインにワークステーションを新規追加することが可能である。これは、「Default Domain Controllers Policy」で、ドメインにワークグループを追加する権利が、Guest アカウントを除くすべてのドメインユーザーに与えられているためである。
これを一部のユーザーのみに権限を限定するなどのように設定を変更するには、Default Domain Controllers Policy の設定を変更する必要がある。
○ 操作手順
1. | Default Domain Controllers Policy を開く | |
2. | 左ペインから[Windows の設定]→[セキュリティの設定]→[ローカルポリシー]→[ユーザー権利の割り当て]を開く | |
3. | 右ペインで[ドメインにワークステーションを追加]ポリシーをダブルクリックする | |
4. | ドメインにワークステーションを追加させたいユーザーまたはグループを設定する | |
※ | 既定では「Authenticated Users」(Guest アカウントを除くすべてのドメインユーザー)が指定されている。この権限を管理者等一部のユーザーに限定したい場合はこちらを[削除]し、権限を与えたいグループ(Administrators 等)を[追加]する。 | |
5. | [OK]ボタンをクリックする | |
6. | グループポリシーを更新する |