ユーザーの権限を変更したい
【質問】
管理対象PCのユーザーの権限を変更することはできますか。
【回答】
はい、可能です。Endpoint Centralには、Windowsコンピューターのローカルグループへのユーザー追加等が可能なグループ管理機能およびリモート制御ツールの一つであるシステムマネージャー機能があります。これらの機能を使用することで、管理対象PCのユーザーにローカル管理者権限を付与することが可能です。
なお、以下の点にご注意ください。
- ローカルユーザー、ドメインユーザー、ドメイングループをローカルグループAdministratorsに参加させる/削除することで、ローカル管理者権限を付与/はく奪することができます。なお、クラウド版のEndpoint Central Cloud Security Editionに含まれるアプリケーション制御機能においては、ローカル管理者権限をもつユーザーを検出し、UI上で直接権限を停止する機能が含まれますが、オンプレミス版では日本語サポートの対象外です。
- Endpoint Centralでは、ADドメイン管理者権限を変更することはできません。Active Directoryの管理には、ManageEngine AD Manager Plusをご利用ください。
- ファイルやフォルダーへのアクセス権限を変更したい場合は、「構成」タブ →「構成」→「Windows」→「権限管理」機能を使用します。
(A) システムマネージャーを使用する方法
手順は以下の通りです。
- コンソールにログインし、「ツール」タブ →「システムマネージャー」をクリックして開きます。
- 管理対象のうちWindows/Linux コンピューターの一覧が表示されます。変更したいコンピューターの「アクション」列 →「管理」→「グループ」をクリックします。
- ローカルグループの一覧が表示され、操作可能になります。
ユーザーに管理者権限を付与する場合は、以下の通りです。
- Administrators グループを選択し、[+ メンバーの追加]をクリックします。
- ドメイン名(またはPC名)および、対象PCに既に存在しているユーザー名(またはグループ名)を入力し、[追加]をクリックします。
(例) PC-01 に ローカルユーザー username1 を追加する場合、 ドメイン名: PC-01 、ユーザー名またはグループ名: username1 を入力します。
※ One or more the members specified do not exist. Therefore, no new members were added.と表示される場合、入力したローカルユーザーが存在しません。
ローカル管理者権限のあるドメインユーザーからローカル管理者権限をはく奪する場合は、以下の通りです。- Administrators グループを選択します。
- 権限をはく奪するユーザーのアクション列 > [×] をクリックします。
(例) ドメインユーザー Domain\username2 からローカル管理者権限をはく奪する場合、 ドメイン名: Domain 、ユーザー名またはグループ名: username2 を入力します。
- タブを閉じます。
(B) グループ管理機能を使用する方法
手順は以下の通りです。
- コンソールにログインし、「構成」タブ → (左メニュー上の)「構成の追加」→ 「構成」→「Windows」→「グループ」→「コンピューター」を選択します。
- 構成について、任意の名前を入力します(デフォルトのままでも構いませんが、分かりやすい名称にすることをお勧めいたします)。また、必要に応じて説明を追加します。
- グループをカスタマイズ: [ここをクリック] をクリックし、グループに対する操作内容を設定します。
- 操作の種類: 編集(Modify) を選択します。
- グループ名: 編集するグループ名を入力します。
ユーザーにローカル管理者権限を付与する場合は、
- 操作の種類: Modify を選択します。
- グループ名: Administrators を入力します。
- メンバーの追加: 追加したいユーザーをローカルユーザー/ドメインユーザー/ドメイングループから選択します。
- 対象PCに既に存在しているユーザー名(またはグループ名)を入力し、[保存]をクリックします。
(例) PC-01 に ローカルユーザー username1 を追加する場合、 ローカルユーザーを選択し username1 を入力します。ドメインユーザー Domain\username2 を追加する場合、ドメインユーザーを選択し[参照]をクリックします。
※ One or more the members specified do not exist. Therefore, no new members were added.と表示される場合、入力したローカルユーザーが存在しません。
- 配布/適用対象の設定: グループ管理操作を実行する管理対象を設定します。ドメイン/ワークグループ/リモートオフィスを選択し、必要に応じてOU/コンピューター名/IPアドレス等のフィルタ条件を追加します。
- 実行設定: 起動時に繰り返し実行する設定や再試行回数、通知を設定します。
- [配布]または[今すぐ配布]をクリックします。
グループ管理機能: 構成機能の一つのため、複数の管理対象に対して設定を一度に適用させることが可能です。ただし、「今すぐ配布」を実行した場合でも、サーバーとエージェント間でコネクションの維持に失敗している場合や通信トラブル等の場合は次のリフレッシュサイクルでの配布となります。
リモート制御:「ツール」タブ →「システムマネージャー」→「グループ」→「リモート制御」機能の一つのため、1台の管理対象に対して設定を適用します。サーバーとエージェントの通信が確立されている管理対象PCに対して、設定の即時反映が可能です。
なお、両機能ともタイマー等の機能はございません。そのため、管理者権限を停止する場合は、再度同様の操作を実行する必要があります。
これらの操作履歴は、グループ管理機能: 「構成」タブ →「構成レポート」→「種類ごとの構成」→「グループ管理」の総数をクリック / リモート制御ツール: 「管理」タブ→「監査」→「アクションログビューア」→「条件」→「システムマネージャー」にチェックを入れて[表示]をクリックすることで表示されます。
リモート制御:「ツール」タブ →「システムマネージャー」→「グループ」→「リモート制御」機能の一つのため、1台の管理対象に対して設定を適用します。サーバーとエージェントの通信が確立されている管理対象PCに対して、設定の即時反映が可能です。
なお、両機能ともタイマー等の機能はございません。そのため、管理者権限を停止する場合は、再度同様の操作を実行する必要があります。
これらの操作履歴は、グループ管理機能: 「構成」タブ →「構成レポート」→「種類ごとの構成」→「グループ管理」の総数をクリック / リモート制御ツール: 「管理」タブ→「監査」→「アクションログビューア」→「条件」→「システムマネージャー」にチェックを入れて[表示]をクリックすることで表示されます。
関連する機能
ローカルユーザーの追加/削除が必要な場合は(ローカル)ユーザー管理機能をご利用ください。
ファイル/フォルダ/レジストリへのアクセス権限を変更する場合は、「構成」→「Windows」→「権限管理」 機能をご利用ください。