windowsクライアントPCでやるべきユーザーの権限管理

自分含めてみんな割りと雑なので、ここにやるべき権限管理を書く。
通常だと管理者権限で常に動かしているので、裸状態で歩いているみたいなもんである。

windows serverと同じく管理者権限をAdministratorユーザーのみ使えるようにする設定方法を書きます。

企業にあるWindows PCだとBPや一般ユーザーがパソコンの状態を変更できないように
設定することはよくある。
セキュリティをちゃんとするなら設定しておくこと。

Administratorユーザーの有効化とパスワードの設定

Administratorユーザーは通常のwindowsクライアントPCでも実はユーザーが作成済みで、
無効になってパスワードが設定されていないだけなので、有効にしてパスワードを設定するだけでよい。

Windowsではパスワードの有効期限がデフォルトで設定されているので、ちゃんと無限に設定しておくこと。
設定を無限にした上でパスワード生成ツールで作成して18文字以上(できれば20文字以上)か、安心できるエントロピーを
元に作成すること。

Administratorの有効化

Enable-LocalUser -Name "Administrator"

Administratorのパスワードの設定

# Administratorのパスワード
$password = "パスワード"
$SecureString = ConvertTo-SecureString $password -AsPlainText -Force

# 一度に設定できないため分ける。
Set-LocalUser -Name "Administrator" -Password $SecureString
Set-LocalUser -Name "Administrator" -PasswordNeverExpires $true

user groupに追加

デフォルトだと入っているはずだが、もし入っていないなら下のようにしてuser groupに追加すること。
userグループにログインしていないとログイン権限が無いので、ログインできなくなる。

Add-LocalGroupMember -Group Users -Member "Administrator"

普段使いの一般ユーザーの設定

普段使いの一般ユーザーからadministratorsの権限を奪う

普段使いの一般ユーザーからAdministratorの権限を除外します。

Remove-LocalGroupMember -Group Administrators -Member "普段使いの一般ユーザー"

管理に必要な権限を与える

開発者用のツールの権限は持っておきたいとかはあると思うので追加する。
windows初め、あらゆるosではuserに権限を与える場合はgroupに所属することにより権限を付与する。

Hyper-V

Add-LocalGroupMember -Group Users -Member "Hyper-V Administrators" -Member "普段使いの一般ユーザー"

Remote desktopの許可

remote desktopでこの端末にログインできるようにするには下のように
Remote Desktop Usersに追加する。

Remote Desktopの機能はWindows Pro以上のエディションなので注意。

Add-LocalGroupMember -Group Users -Member "Remote Desktop Users" -Member "普段使いの一般ユーザー"

Dockerの権限

dockerをインストールするとシステムにdocker-users groupが作成されるのでそれを使う。

Add-LocalGroupMember -Group Users -Member "docker-users" -Member "普段使いの一般ユーザー"

user groupに追加

Administatorsグループから除外するとログインできなくなる時もあるので追加する。

Add-LocalGroupMember -Group Users -Member "普段使いの一般ユーザー"

まとめ

少人数なら自動化の手間のほうが大きくなるが、
それなりの大きさの組織としてやるならこの設定を自動化したゴールデンイメージを作って各PCにインストールすること。