マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

  • Active Directory 環境内での
    コンピュータ群やリモートユーザ群の
    集中管理とコンフィギュレーションの機能
  • グループ・ポリシーによってできること。
    • デスクトップ環境の一元管理
    • アプリ配布の効率化(セキュリティパッチ)
    • 一貫したセキュリティ・ポリシー
    • .etc
  • これにより、ウィルス・アタックによる
    情報漏えいを未然に回避するなどが可能。

作成

グループ・ポリシー定義

適用

リンクさせてフィルタを設定

運用

グループポリシーのクライアントは「プル型」モデルで運用する。
(90分から120分のランダムな間隔、ただし変更可能)

GPOの作成

OU階層の設計ガイドライン

管理構造の実現

  • 管理方針、ビジネス構造に合わせる。
  • 組織構造に合わせた階層で設計しない。
    (組織構造はビジネス構造に関係なく頻繁に変わるため)

OU構造の例

  • 第一階層・・・地理的要素
  • 第二階層以下・・・ビジネス役割
  • 役割の例
  • ユーザ
    管理職、一般職、技術職、ITスタッフ.etc
  • コンピュータ
    ファイル、プリントサーバ、Webサーバ、Exchangeサーバ、デスクトップ、ノート
  • ドメイン・コントローラ
    Domain Controllers OUの子

GPOを適用するOU階層の例

役割

  • 一般PC、ユーザ
  • キオスク用PC、ユーザ
  • 特定アプリケーション用PC、ユーザ
  • 複数ユーザ共有用PC、ユーザ
  • モバイル用PC、ユーザ

Common Scenarios

├[Computers]
││
│├[Highly Managed]
││├[AppStation]
││├[Kiosk]
││├[Multi-User]
││├[TaskStation]
││
│├[Lightly Managed]
││├[Mobile]
│
├[Users]
││
│├[Highly Managed]
││├[AppStation]
││├[Kiosk]
││├[Multi-User]
││├[TaskStation]
││
│├[Lightly Managed]
││├[Mobile]

グループ・ポリシー定義方法

  • GPOを作成する。
    グループポリシー管理コンソール (GPMC)
  • GPOを編集する。
    グループポリシー・オブジェクトエディタ (GPEdit)

GPOの適用

GPOは、ドメイン、サイト、OUにリンクさせて使用する。

GPOの適用先

ディレクトリなので...。

ノード

  • サイト
  • ドメイン
  • OU

リーフ・ノード

  • コンピュータの構成(コンピュータに適用)
  • ユーザの構成(ユーザに適用)

適用ルール

適用順

サイト → ドメイン → OUの順に適用
(ただし、パスワード・ポリシーはドメイン・レベルで設定)

優先順

後勝ち方式。

  • 競合する場合は、後から適用される設定が優先される(上書き)。
  • 強制を設定していると、上書きされなくなるように制御可能。

ディレクトリのノードの作成

サイト、ドメイン

以下のツールを使用して作成できる。

  • Active Directoryユーザーとコンピューター(DSA)

OU

以下のツールを使用して作成できる。

  • Active Directoryユーザーとコンピューター(DSA)
  • グループポリシー管理コンソール (GPMC)

対象が含まれるか確認する。

「Active Directoryユーザーとコンピューター」を使用して確認する。

サイト、ドメイン

サイトや、ドメイン全体のコンピュータ、ユーザに適用される。

OU

OUに含まれるコンピュータ、ユーザに適用される。

ディレクトリのノードにGPOをリンク

  • GPOをリンクする。
    グループポリシー管理コンソール (GPMC)

リンク

GPOをOUにD&Dすればイイ。

セキュリティ・フィルタ

セキュリティ・フィルタ設定を行う。

  • アカウントを追加
    • コンピューターならDomain Computerを追加
    • ユーザならAuthenticated Userを追加
  • 権限を追加する。
    • 読み取り 許可
    • グループポリシーの適用 許可

GPOの設定を反映して確認

プル

クライアントからプルする。

gpupdate /force

確認

  • サーバーの設定値を確認する。
    グループポリシー管理コンソール (GPMC) を使用する。
  • クライアント毎の適用結果を確認する。
  • ユーザのGPO
    gpresult /v
  • コンピュータのGPO
    gpresult /v /scope computer

参考

ローカル・ポリシー

グループポリシー設定リスト

応用

GPOによるプログラムの配付

更新プログラムの配信の最適化の構成


Tags: :セキュリティ, :Active Directory


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2019-08-07 (水) 10:45:04 (75d)