グループ・ポリシー のバックアップ(No.5)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• グループ・ポリシー へ行く。
  • 1 (2014-09-11 (木) 17:05:58)
  • 2 (2014-09-11 (木) 17:19:31)
  • 3 (2015-08-24 (月) 01:42:25)
  • 4 (2016-01-26 (火) 18:38:19)
  • 5 (2017-01-12 (木) 14:47:23)
  • 6 (2017-03-01 (水) 21:11:37)
  • 7 (2019-08-06 (火) 15:53:08)
  • 8 (2019-08-06 (火) 19:02:33)
  • 9 (2019-08-07 (水) 10:45:04)
  • 10 (2020-02-12 (水) 15:26:45)
  • 11 (2021-06-24 (木) 19:33:43)

---

Open棟梁Project - マイクロソフト系技術情報 Wiki

• 戻る

目次 †

概要 †

• Active Directory 環境内で
  コンピュータ群やリモートユーザ群の
  集中管理とコンフィギュレーションの手段

作成 †

• グループポリシー・オブジェクトエディタ (GPEdit)
• グループポリシー管理コンソール (GPMC)

適用 †

• オブジェクトのリンク
• Security Descriptor のカスタマイズ 　　

運用 †

• グループポリシーのクライアントは「プル型」モデルで運用する。
  （90分から120分のランダムな間隔、ただし変更可能）

• コマンドでユーザ毎の適用結果を確認することも。

グループポリシーの一覧エクスポート方法について
http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/57bd34f0-e5d7-471a-a9ef-dccaa99a63f1/

グループ・ポリシーとは †

• 管理者によりクライアント環境の一括制御機能

• 管理者はグループ・ポリシーを定義する。

• できること。
  • デスクトップ環境の一元管理
  • アプリ配布の効率化（セキュリティパッチ）
  • 一貫したセキュリティ・ポリシー
  • .etc

これにより、ウィルス・アタックによる
情報漏えいを未然に回避するなどが可能。

グループ・ポリシー定義 †

• グループ・ポリシー定義方法
  GPO（グループ・ポリシー・オブジェクト）に格納

GPOの使用方法 †

GPOは、ドメイン、サイト、OUにリンクさせて使用する。

GPOの適用先 †

• コンピュータの構成（コンピュータに適用）
• ユーザの構成（ユーザに適用）

GPOの設定項目 †

• ソフトウェアの設定
  ソフトウェア・インストールの一元管理の設定

• スクリプト
  • スタートアップ
  • シャットダウン
  • ログオン
  • ログオフ

• セキュリティの設定
  セキュリティに関する設定を指定

• パスワード・ポリシー
  • パスワード・ポリシー
  • ロックアウト・ポリシー

• 監査ポリシー
  記録するセキュリティ・イベントを指定

• 監査ポリシー
  http://technet.microsoft.com/ja-jp/library/cc730601.aspx

• Windows読者限定 - 監査ポリシーを設定すると
  Windowsの動作が極端に遅くなる：ITpro
  http://itpro.nikkeibp.co.jp/free/NT/WinReadersOnly/20040910/6/

• イベント・ログ
  • ログの保存とログの最大サイズの設定を指定

• ファイル・システム
  • FSOのアクセス権の設定を指定
  • FSOの監査の設定を指定

• レジストリ設定
  • レジストリ・キーのアクセス権の設定を指定
  • レジストリ・キーの監査の設定を指定

• IPSecポリシー
  • 不要なトラフィックのブロック
  • IPsec ポリシーを作成して使用する
    http://technet.microsoft.com/ja-jp/library/cc730656.aspx

• ソフトウェア制限
  • クライアント・コンピュータで悪質なソフトウェアを実行させない。

• システム・サービス
  • サービスのスタートアップモードとアクセス権の設定

• セキュリティ・オプション
  • ユーザ＆コンピュータの種々のセキュリティ設定

• 制限されたグループ
  • グループに所属するアカウントを指定
  • そのグループが所属するグループを指定

• ユーザ権限の割り当て
  • コンピュータで特定の処理を実行できるユーザとグループの指定

• 管理者テンプレート レジストリ・ベースのグループ・ポリシー設定

• Windowsコンポーネント
  • MMCなどの特定ツールのアクセス許可

• システム
  • ログオン、ログオフのプロセス手順
  • グループ・ポリシー定義
  • ディスク・クォータ定義
  • ループバック処理の定義
    グループ ポリシーの処理や、ループバック処理について
    http://social.technet.microsoft.com/Forums/windowsserver/ja-JP/19c6eb32-639c-4fec-a1a2-be8e7c878d04/-

• ネットワーク
  • ネットワーク接続のプロパティ制御
  • ダイヤルイン接続のプロパティ制御

• プリンタ
  • Active Directoryでのプリンタ公開
  • Webベースの印刷の制御

• その他、デバイス
  • USB
  • CD-ROM
  • フロッピー ディスク
  • LS-120
  • [Howto]: グループ ポリシーを使って、
    USB と CD-ROM とフロッピー ディスクと LS-120 ドライバが無効にします。
    http://support.microsoft.com/kb/555324/ja

• タスクバーとスタートメニュー
  • スタートメニューを読み取り専用に制限
  • スタートメニューからアクセス可能な機能の決定

• デスクトップ
  • アイコンの非表示
  • マイドキュメントでのユーザ操作制限

• コントロール・パネル
  • コントロール・パネルの使用に対する制限

• リモート・インストール・サービス（RIS）
  RISが使用するクライアント・インストール・ウィザードでの設定オプションの制御

• Internet Explorerメンテナンス
  Internet Explorerを管理カスタマイズする。

• フォルダ・リダイレクト
  • フォルダ・リダイレクトの機能
  • フォルダー リダイレクトの概要
    http://technet.microsoft.com/ja-jp/library/cc732275.aspx

GPOの適用ルール †

• サイト→ドメイン→OUの順に適用
  （ただし、パスワード・ポリシーはドメイン・レベルで設定）

• 競合する場合は、後から適用される設定が優先される（上書き）。
• 強制を設定していると、上書きされなくなるように制御可能。

GPOの作成方法 †

• GPMCを使用する。

OU階層の設計ガイドライン †

管理構造の実現 †

• 管理方針、ビジネス構造に合わせる。
• 組織構造に合わせた階層で設計しない。
  （組織構造はビジネス構造に関係なく頻繁に変わるため）

OU構造の例 †

• 第一階層・・・地理的要素

• 第二階層以下・・・ビジネス役割

• 役割の例

• ユーザ
  管理職、一般職、技術職、ITスタッフ.etc

• コンピュータ
  ファイル、プリントサーバ、Webサーバ、Exchangeサーバ、デスクトップ、ノート

• ドメイン・コントローラ
  Domain Controllers OUの子

GPOを適用するOU階層の例 †

役割 †

• 一般PC、ユーザ
• キオスク用PC、ユーザ
• 特定アプリケーション用PC、ユーザ
• 複数ユーザ共有用PC、ユーザ
• モバイル用PC、ユーザ

Common Scenarios †

├[Computers]
││
│├[Highly Managed]
││├[AppStation]
││├[Kiosk]
││├[Multi-User]
││├[TaskStation]
││
│├[Lightly Managed]
││├[Mobile]
│
├[Users]
││
│├[Highly Managed]
││├[AppStation]
││├[Kiosk]
││├[Multi-User]
││├[TaskStation]
││
│├[Lightly Managed]
││├[Mobile]

GPOによるプログラムの配付 †

参考 †

• これだけは知っておきたい！Active Directoryとグループ ポリシー
  Tech・Ed 2005 Session資料

• 強化されたグループ・ポリシー機能 － ＠IT
  http://www.atmarkit.co.jp/fwin2k/winsv2008r2/07gpr2/gpr2_01.html

• システム設定とシステム・ポリシー － ＠IT
  http://www.atmarkit.co.jp/fwin2k/tutor/gpolicy01/gpolicy01_01.html
  • 第1回 システム設定とシステム・ポリシー
  • 第2回 グループ・ポリシーとは何か
  • 第3回 グループ・ポリシーの設定ファイル
  • 第4回 グループ・ポリシーの適用
  • 第5回 Active Directoryにおけるグループ・ポリシー
  • 第6回 リンクの継承と優先度およびフィルタ機能
  • 第7回 グループ・ポリシー管理コンソール（GPMC）

---

Tags: :セキュリティ, :Active Directory

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.032 sec.