Q

あるユーザーにActive Directoryの管理作業を任せようと思い,そのユーザー・アカウントをDomain Adminsグループに追加しました。ところが,付与した管理者権限が有効になりません。ユーザーのプロパティを確認してみると,「所属するグループ」に,登録したはずのDomain Adminsグループが見当たりません。何度追加してもしばらくすると消えてしまい,結果は変わりません。

A

身に覚えのないグループのメンバーの変更など,アカウント管理に関する問題が発生したときには,ドメインの[Default Domain Controllers Policy]にある設定を編集し,[アカウント管理の監査]を有効にしましょう。これによりアカウントやグループの登録・削除・変更の情報がドメイン・コントローラのセキュリティ・ログに記録されます。

 記録されたセキュリティ・ログの内容から,Domain Adminsグループのメンバーが実際に削除されたことを確認できます。また,削除されたときの時刻をログから特定して,アプリケーション・ログなど他のイベント・ログからメンバーが削除されたときに何が行われていたかを確認します。

グループ・ポリシーの適用があれば[制限されたグループ]を疑う
 アプリケーション・ログの中で,メンバーの削除とほぼ同じ時刻に[グループポリシーオブジェクトセキュリティポリシーは正しく適用されました]というログが記録されていれば,ドメイン・コントローラで有効になっているポリシーの設定が問題を引き起こしている可能性が大きいです。


△ 図をクリックすると拡大されます
図4●特定のグループにユーザー・アカウントを追加するのを防ぐ[制限されたグループ]

 このときに最初に疑うべきポリシーは,[制限されたグループ]です(図4)。制限されたグループとは,セキュリティを強化する機能の1つで,セキュリティ・グループに勝手にユーザー・アカウントを追加できないようにする仕組みです。Domain Adminsグループがここに登録されていると,今回のようなトラブルが発生します。これを解決するには,[制限されたグループ]に登録されたDomain Adminsグループをいったん削除してください。そうすれば,アカウントをDomain Adminsグループに追加可能になります。[制限されたグループ]は設定したことを忘れてしまいがちなので使用する際は注意してください。

永尾 幸夫