次の方法で共有

管理者権限を与えずに管理者権限の必要なインストーラーなど実行する方法について

Kojima, Kenichi 0 評価のポイント
2024-05-14T06:08:55.3066667+00:00

管理者権限を付与せずに、管理者権限の必要なインストーラー等の実行や

システム環境変数の操作等をできるように設定を行っております。

2種類のユーザーの作成を考えており、1つ目は下位のユーザーでもう一つは上位のユーザーです。

上位のユーザーには管理者権限を与えず、

管理者権限の必要なインストーラーの実行などを

Windows server 2022 (Active directory)で運用をできるようにし、

上位のユーザーでインストーラーの実行を行う際には、管理者権限のある

ユーザー名やパスワードのなどを知られたくないため、パスワードの入力をせず、または分からないようにして実行するのがマストです。

試したこと

・UACの実行(一般ユーザーに対してUACが実行されるようにGPOで割り当てたのですがうまく機能しませんでしたというのと、UACはパスワード入力が求められてしまうので、そこもUACが使いづらい理由の一つです)

・Server operatorグループを付与(システム環境変数で管理者権限が必要になり、)

・上位ユーザーにAdministratorsなどグループを付与しつつも、GPOで操作できることを制限する(実施していませんが、制限しないといけない項目がありすぎて現実的でない気がします)

管理者権限を付与せずに、管理者権限の必要なインストーラーの実行方法が

他に見つけられないので、他にやりかたをご存じの方いたらご教授いただけないでしょうか。

Windows Server
Windows Server
エンタープライズ レベルの管理、データ ストレージ、アプリケーション、通信をサポートする Microsoft サーバー オペレーティング システムのファミリ。
24 件の質問
Active Directory
Active Directory
Windows Server に含まれるディレクトリベースのテクノロジのセット。
11 件の質問

3 件の回答

並べ替え方法: 最も役に立つ
最も役に立つ 新しい順 古い順
  1. Yanhong Liu 3,420 評価のポイント Microsoft ベンダー
    2024-05-15T05:26:55.7+00:00

    こんにちは

    Q&A フォーラムにご投稿いただきありがとうございます。

    RunAsTool ツールを試すと、標準ユーザーに管理者権限を付与せずに、ユーザーが管理者としてプログラムを実行できるようになります。 ダウンロードおよび使用方法の詳細については、次のリンクを参照してください。RunAsTool lets you run a Program as Administrator without password (thewindowsclub.com)

    RunAsTool v1.5 (sordum.org)

    参考までに、同様のスレッドを次に示します。

    Allow user to open specific program with admin privileges - Microsoft Q&A

    上記の情報がお役に立てば幸いです。

    よろしくお願いします、

    ヤンホン・リウ

    ===========================================

    回答が役に立った場合は、「回答を受け入れる」をクリックして賛成票を投じてください。

    0 件のコメント
  2. チャブーン 551 評価のポイント MVP
    2024-05-17T14:11:12.1166667+00:00

    チャブーンです。

    この件ですが、まったく別のアプローチで、ある程度は「満たす」ことができるかもしれません。

    簡単にいうと、対象の(上位)ユーザーに、プログラムインストール時だけ一時的に管理者権限を与えることです。これを一般にJust-In-Time(JIT)といいます。Active Directoryであれば、管理者権限を付与してから特定時間の経過まで有効にする、ということができます。Doctor-Sctiptoがスクリプトを書いてくれてますので、それをそのまま使うこともできると思います。

    https://devblogs.microsoft.com/scripting/weekend-scripter-use-powershell-for-jit-administration-and-pam-part-1?WT.mc_id=EM-MVP-8322
    https://devblogs.microsoft.com/scripting/weekend-scripter-use-powershell-for-jit-administration-and-pam-part-2?WT.mc_id=EM-MVP-8322

    ただし、いつ、そのユーザに管理者権限を与えるのか、といった契機については、すべてアナログでの調整です(ユーザとは個別に連絡です)。ワークフローのようにシステム化したい場合PIMを構築する必要があります。

    0 件のコメント
  3. hidaka 76 評価のポイント MVP
    2024-05-28T00:55:42.2366667+00:00

    「Sudo for Windows」ですね。今日この記事を見て、そういえば「Sudo for Windows」を探している人がいたと思い出しました。

    https://forest.watch.impress.co.jp/docs/serial/yajiuma/1594981.html?

    元ネタは以下で、Windows 11 24H2 で導入予定。現在は 「Windows 11 Insider Preview」Build 26052(Canary/Dev)以降で配布中。

    https://forest.watch.impress.co.jp/docs/serial/yajiuma/1579041.html

    0 件のコメント