DHCP サーバー サービスをインストールすると、DHCP Users と DHCP Administrators という 2 つのドメイン ローカル グループが作成されます。

Windows Server 2008 R2 より前のバージョンの Windows では、動的ホスト構成プロトコル (DHCP) サービスはローカル システム アカウントで実行され、セキュリティ アカウント マネージャー (SAM) データベース内にグループを作成する特権を持っていました。Windows Server 2008 R2 では、DHCP サーバー サービスは、特権が少なく、セキュリティ アカウントを作成できないネットワーク サービス アカウントに移動されています。セキュリティ グループの追加とアクセス制御リスト (ACL) の設定を容易にするため、DHCP では、DhcpAddSecurityGroups と呼ばれるアプリケーション プログラミング インターフェイス (API) を使用します。この API は Dhcpsapi.dll の中に実装され、DHCP サーバーのサーバーの役割がインストールされた後に、役割管理ツールによって起動されます。

DHCP Users グループ

DHCP Users グループのメンバーは、DHCP Microsoft 管理コンソール (MMC) スナップインを使用して、サーバーに読み取り専用でアクセスします。DHCP サーバー構成、レジストリ キー、DHCP ログ ファイル、および DHCP データベースを含むサーバー データを表示できますが、変更はできません。DHCP Users は、スコープの作成、オプション値の変更、予約または除外範囲の作成のほか、どのような方法でも DHCP サーバーの構成を変更することはできません。

DHCP Administrators グループ

DHCP Administrators グループのメンバーは、DHCP サーバーに関するすべての設定を表示および変更できます。DHCP Administrators は、スコープの作成と削除、予約の追加、オプション値の変更、スーパースコープの作成に加え、DHCP サーバーの構成とデータベースのエクスポートとインポートなど、サーバーを管理するために必要なすべてのタスクを実行できます。

DHCP Administrators グループのメンバーの管理権限は無制限ではありません。たとえば、DHCP サーバーがドメイン ネーム システム (DNS) サーバーとしても構成されている場合、DHCP Administrators グループのメンバーは DHCP の構成を表示および変更できますが、同じコンピューター上の DNS サーバーの構成は変更できません。

DHCP Administrators グループのメンバーの権限は、ローカル コンピューターだけを対象とするので、DHCP Administrators は、Active Directory ドメイン サービス (AD DS) で DHCP サーバーの承認または承認の解除を行うことはできません。このタスクは、Domain Admins グループのメンバーだけが実行できます。子ドメインで DHCP サーバーの承認または承認の解除を行う場合は、親ドメインに対するエンタープライズ管理者資格情報を持っている必要があります。

エンタープライズ管理者としてログオンするには、Enterprise Admins グループのメンバー アカウントを使用する必要があります。エンタープライズで作成された最初のドメイン コントローラーでローカル管理者としてログオンすることで、このグループに加わることができます。

その他の資料

関連情報を提供しているヘルプ トピックの一覧については、「DHCP サーバーの役割で推奨されるタスク」を参照してください。

DHCP に関する IT 専門家向けの最新の詳細情報については、Microsoft TechNet Web サイトにある Windows Server 2008 のドキュメント (英語の可能性あり) を参照してください。


目次