Windows Server ドメイン管理下のAdministratorsグループの別ユーザーで動作させるときのサポートの方針について

Windows Server ドメイン管理下のAdministratorsグループの別ユーザーで動作させる場合、インストールはAdministratorから行って、Administrator以外のシステム管理者権限を持つ他のユーザーでログインすると、Mail Control のメニューやアイコンが出ないことについて、ご質問を受けたことがあります。これについて、弊社のサポートの方針をお伝えします。

また、この記事の後半には、いくつかの環境で調べてみたことをお伝えします。

メールサーバ製品を提供し、同時にサポート対応をしなければならない立場でもある弊社としては、ドメイン管理下のAdministratorsグループ別名ユーザーで動作させたい要件があっても、ドメインコントローラ下の構成、特に複雑なMSFCクラスタ構成などでは、Administratorで管理・運用を続けることを推奨いたします。

これは、たしかに、理屈上は「Administrator の権限=Administratorsグループの別ユーザーの権限」であるはずですが、セキュリティポリシーやファイヤウォールなどの機能や設定が複雑になりすぎ、高度化してきている2008 R2以降では、完全に“イコール”にするのは非常に難しく、マイクロソフトからも確実な情報があまり明らかにされていないためです。

特に、MSFCクラスタ構成を取るときなど、ドメインコントローラ下での構成が必須になりますが、構築ガイドで公開している設定方法は、すべてAdministratorでインストールし、管理・運用することを前提に検証テストしています。

【参考情報】
Windows Server 2008 R2ドメインの管理下において、以下の設定を行えば、Administratorsグループに入っている別ユーザーでも動作はできることは確認しました。ただし実際に運用し続けて特に問題がないかどうかまでは検証してません。参考情報としてお知らせします。
■弊社検証環境にてドメインコントローラと同居させたシングル構成のメールサーバで確認したこと
  1. 「Active Directoryユーザーとコンピュータ」からAdministratorからユーザーをコピー、'kanri'と名前を付ける。
  2. その後、'kanri'でログインし、確かめる。
  3. スタートメニュー、アイコンなどは、Administratorと同じ状態が維持され、起動可能。
  4. 特に問題なし。EpstControl.exeも起動可能。
■弊社検証環境にてドメインコントローラ下のMSFCクラスタ構成のメールサーバで確認したこと

   ドメインコントローラ
       |
    +−−+−−+
    |     |
   MSFC1    MSFC2
     \   /
    仮想ストレージ

   ※すべて2008R2環境
  1. ドメインコントローラの「Active Directoryユーザーとコンピュータ」からAdministratorからユーザーをコピー、'kanri'と名前を付ける。
  2. その後、'kanri'でログインし、確かめる。
  3. その結果、アイコンは表示されるが、アプリをブロックするダイアログが出てきて「はい」を選んでも起動不能。(ファイヤウォール無効状態にして試しても同じ)
  4. EpstControl.exeを管理者で直接実行しても、タスクマネージャ上ではメモリ消費されているものの、実際には起動しない。
この現象に対する対応策として、次のサイトで書かれている方法を試しました。
※ただし次に示した情報は、いずれも第三者の会社あるいは個人によるものであり、いずれもマイクロソフトの公式情報ではありません。
また、弊社がこの方法を保証するものでもありません。あくまで参考情報としてとどめておいてください。

◆「一般ドメインユーザにローカルPCの管理者権限を与える方法」の「方法2」を試す

 一般ドメインユーザにローカルPCの管理者権限を与える方法
  1. ドメインコントローラのグループポリシー管理エディタを使い、Administraotrsグループをまず追加、そのプロパティから'kanri'ユーザーを追加した。
  2. その結果、アプリをブロックするダイアログが出てくるが「はい」をクリックすると起動が可能。
  3. EpstControl.exeを右クリックから「管理者として実行」を選んで直接実行しても、起動可能。
  4. MSFCクラスタ構成なので、各サービスを止めると、正副切り替えになってしまい、確認しづらいが、EPSTDSを停止、開始させることができることを確認。

◆さらに一般ユーザーが公開している次の方法を試す

 Windows Server 2008 R2でAdministratorとAdministratorsの動きが何か違う
  1. この記事の情報によれば、2008R2のAdministratorと、Administratorsのアカウントでは、基本的動作が異なるのは、UACの管理者承認モードの設定が原因との指摘がされており、次の設定を試した。
  2. ローカルセキュリティポリシー
     =>セキュリティの設定
      =>ローカルポリシー
       =>セキュリティオプション
        =>ユーザーアカウント制御:[管理者承認モードですべての管理者を
        実行する] を[無効]に変更
  3. ローカルセキュリティポリシー
     =>セキュリティの設定
      =>ローカルポリシー
       =>セキュリティオプション
        =>ユーザーアカウント制御:[ビルトインAdministratorアカウントの
        ための管理者承認モード] を有効に変更
  4. その結果、アプリをブロックするダイアログが出なくなったことを確認。