「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
- Active Directory 環境内での
コンピュータ群やリモートユーザ群の
集中管理とコンフィギュレーションの機能
- グループ・ポリシーによってできること。
- デスクトップ環境の一元管理
- アプリ配布の効率化(セキュリティパッチ)
- 一貫したセキュリティ・ポリシー
- .etc
- これにより、ウィルス・アタックによる
情報漏えいを未然に回避するなどが可能。
作成 †
- グループポリシー・オブジェクトエディタ (GPEdit)
- グループポリシー管理コンソール (GPMC)
適用 †
- オブジェクトのリンク
- Security Descriptor のカスタマイズ
運用 †
- グループポリシーのクライアントは「プル型」モデルで運用する。
(90分から120分のランダムな間隔、ただし変更可能)
グループポリシーの一覧エクスポート方法について
http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/57bd34f0-e5d7-471a-a9ef-dccaa99a63f1/
GPOの作成 †
OU階層の設計ガイドライン †
管理構造の実現 †
- 管理方針、ビジネス構造に合わせる。
- 組織構造に合わせた階層で設計しない。
(組織構造はビジネス構造に関係なく頻繁に変わるため)
OU構造の例 †
- ユーザ
管理職、一般職、技術職、ITスタッフ.etc
- コンピュータ
ファイル、プリントサーバ、Webサーバ、Exchangeサーバ、デスクトップ、ノート
- ドメイン・コントローラ
Domain Controllers OUの子
GPOを適用するOU階層の例 †
役割 †
- 一般PC、ユーザ
- キオスク用PC、ユーザ
- 特定アプリケーション用PC、ユーザ
- 複数ユーザ共有用PC、ユーザ
- モバイル用PC、ユーザ
Common Scenarios †
├[Computers]
││
│├[Highly Managed]
││├[AppStation]
││├[Kiosk]
││├[Multi-User]
││├[TaskStation]
││
│├[Lightly Managed]
││├[Mobile]
│
├[Users]
││
│├[Highly Managed]
││├[AppStation]
││├[Kiosk]
││├[Multi-User]
││├[TaskStation]
││
│├[Lightly Managed]
││├[Mobile]
グループ・ポリシー定義方法 †
GPOの適用 †
GPOは、ドメイン、サイト、OUにリンクさせて使用する。
GPOの適用先 †
ディレクトリなので...。
ノード †
リーフ・ノード †
- コンピュータの構成(コンピュータに適用)
- ユーザの構成(ユーザに適用)
適用ルール †
適用順 †
サイト → ドメイン → OUの順に適用
(ただし、パスワード・ポリシーはドメイン・レベルで設定)
優先順 †
後勝ち方式。
- 競合する場合は、後から適用される設定が優先される(上書き)。
- 強制を設定していると、上書きされなくなるように制御可能。
対象が含まれるか確認する。 †
ドメインの場合 †
全体のコンピュータ、ユーザに適用される。
OUの場合 †
OUに対象が含まれるか確認する。
ドメインやOUにGPOをリンク †
リンク †
GPOをOUにD&Dすればイイ。
セキュリティ・フィルタ †
セキュリティ・フィルタ設定を行う。
- アカウントを追加
- コンピューターならDomain Computerを追加
- ユーザならAuthenticated Userを追加
GPOの設定を反映して確認 †
プル †
クライアントからプルする。
gpupdate /force
確認 †
クライアントで確認する。
参考 †
- これだけは知っておきたい!Active Directoryとグループ ポリシー
Tech・Ed 2005 Session資料
応用 †
更新プログラムの配信の最適化の構成 †
Tags: :セキュリティ, :Active Directory
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
