「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>ドメイン サービス (AD DS)]] * 目次 [#k1c629b1] #contents *概要 [#w23bf247] -GPOなどと略記される。 -Active Directory 環境内での~ コンピュータ群やリモートユーザ群の~ 集中管理とコンフィギュレーションの機能 -グループ・ポリシーによってできること。 --デスクトップ環境の一元管理 --アプリ配布の効率化(セキュリティパッチ) --一貫したセキュリティ・ポリシー --.etc -これにより、ウィルス・アタックによる~ 情報漏えいを未然に回避するなどが可能。 -プロダクトによっては、[[ローカル・ポリシー>#rca8db56]]もサポートする。 -プロダクトによっては、~ [[ローカル・ポリシー>#rca8db56]]もサポートする。 **作成 [#g6876a5f] [[グループ・ポリシー定義>#pf31de6b]] **適用 [#qd9f1ab8] [[リンクさせてフィルタを設定>#y4b95890]] **運用 [#j414b176] グループポリシーのクライアントは「プル型」モデルで運用する。~ (90分から120分のランダムな間隔、ただし変更可能) *GPOの作成 [#l6513d83] **OU階層の設計ガイドライン [#r4db19df] ***管理構造の実現 [#g0e2561b] -管理方針、ビジネス構造に合わせる。 -組織構造に合わせた階層で設計しない。~ (組織構造はビジネス構造に関係なく頻繁に変わるため) ***OU構造の例 [#f52caa04] -第一階層・・・地理的要素 -第二階層以下・・・ビジネス役割 --役割の例 ---ユーザ~ 管理職、一般職、技術職、ITスタッフ.etc ---コンピュータ~ ファイル、プリントサーバ、Webサーバ、Exchangeサーバ、デスクトップ、ノート ---ドメイン・コントローラ~ Domain Controllers OUの子 **GPOを適用するOU階層の例 [#xe3d2b55] ***役割 [#xa5285a5] -一般PC、ユーザ -キオスク用PC、ユーザ -特定アプリケーション用PC、ユーザ -複数ユーザ共有用PC、ユーザ -モバイル用PC、ユーザ ***Common Scenarios [#babc68d0] ├[Computers] ││ │├[Highly Managed] ││├[AppStation] ││├[Kiosk] ││├[Multi-User] ││├[TaskStation] ││ │├[Lightly Managed] ││├[Mobile] │ ├[Users] ││ │├[Highly Managed] ││├[AppStation] ││├[Kiosk] ││├[Multi-User] ││├[TaskStation] ││ │├[Lightly Managed] ││├[Mobile] **グループ・ポリシー定義方法 [#pf31de6b] -GPOを作成する。~ グループポリシー管理コンソール ([[GPMC>Active Directory(参考情報)]]) -GPOを編集する。~ グループポリシー・オブジェクトエディタ ([[GPEdit>Active Directory(参考情報)]]) *GPOの適用 [#fd6d01ff] GPOは、ドメイン、サイト、OUにリンクさせて使用する。 **GPOの適用先 [#b63c1d51] ディレクトリなので...。 ***ノード [#u9e78e6f] -サイト -ドメイン -OU ***リーフ・ノード [#t3a98c2b] -コンピュータの構成(コンピュータに適用) -ユーザの構成(ユーザに適用) **適用ルール [#ccfea398] ***適用順 [#d0144ff4] サイト → ドメイン → OUの順に適用~ (ただし、パスワード・ポリシーはドメイン・レベルで設定) ***優先順 [#d1a8f64c] 後勝ち方式。 -競合する場合は、後から適用される設定が優先される(上書き)。 -強制を設定していると、上書きされなくなるように制御可能。 **ディレクトリのノードの作成 [#hed90997] ***サイト、ドメイン [#c6bd21a5] 以下のツールを使用して作成できる。 -Active Directoryユーザーとコンピューター(DSA) ***OU [#z25ecb3a] 以下のツールを使用して作成できる。 -Active Directoryユーザーとコンピューター(DSA) -グループポリシー管理コンソール ([[GPMC>Active Directory(参考情報)]]) **対象が含まれるか確認する。 [#y4538edf] 「Active Directoryユーザーとコンピューター」を使用して確認する。 ***サイト、ドメイン [#s2636932] サイトや、ドメイン全体のコンピュータ、ユーザに適用される。 ***OU [#mc93bcb4] OUに含まれるコンピュータ、ユーザに適用される。 **ディレクトリのノードにGPOをリンク [#y4b95890] -GPOをリンクする。~ グループポリシー管理コンソール ([[GPMC>Active Directory(参考情報)]]) ***リンク [#i08ddcab] -GPOをOUにD&Dすればイイ。 ***セキュリティ・フィルタ [#d088ff0b] セキュリティ・フィルタ設定を行う。 -アカウントを追加 --コンピューターならDomain Computerを追加 --ユーザならAuthenticated Userを追加 -権限を追加する。 --読み取り 許可 --グループポリシーの適用 許可 **GPOの設定を反映して確認 [#f4bcc092] ***プル [#v88bd705] クライアントからプルする。 gpupdate /force ***確認 [#x4a704b5] -サーバーの設定値を確認する。~ グループポリシー管理コンソール ([[GPMC>Active Directory(参考情報)]]) を使用する。 --参考 ---グループ ポリシー オブジェクト設定のレポートの表示、印刷、および保存~ https://forsenergy.com/ja-jp/gpmc/html/2cad7b34-30a0-491f-bbc8-e7e3b6046a18.htm -クライアント毎の適用結果を確認する。 --ユーザのGPO gpresult /v --コンピュータのGPO gpresult /v /scope computer --参考 ---グループポリシーの一覧エクスポート方法について~ http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/57bd34f0-e5d7-471a-a9ef-dccaa99a63f1/ *管理テンプレート [#y08dadb7] **ソフトウェア毎 [#m387a0f2] 管理テンプレートはアプリケーション・ベンダーからも提供されており、~ 「テンプレートファイル」(拡張子.admxファイルとその関連ファイル / フォルダ群)を~ DCの「PolicyDefinitions」フォルダに配置することで、GPOの設定項目を拡張できる。 ***Internet Explorer [#pba58995] -管理用テンプレートと Internet Explorer 11 (IT 担当者向け Internet Explorer 11) | Microsoft Docs~ https://docs.microsoft.com/ja-jp/internet-explorer/ie11-deploy-guide/administrative-templates-and-ie11 -Download Administrative Templates for Internet Explorer from Official Microsoft Download Center~ https://www.microsoft.com/en-us/download/details.aspx?id=40905 ***Office [#aa7b6d0d] -Download Administrative Template files (ADMX/ADML)~ and Office Customization Tool for Office 365 ProPlus,~ Office 2019, and Office 2016 from Official Microsoft Download Center~ https://www.microsoft.com/en-us/download/details.aspx?id=49030 ***Google Chrome [#w58efe81] -How to Install Google Chrome Using Group Policy - OSRadar~ https://www.osradar.com/how-to-install-google-chrome-using-group-policy/ ***Adobe Reader [#cb9405d0] -Create Adobe GPO templates~ https://p0w3rsh3ll.wordpress.com/2017/08/21/create-adobe-gpo-templates/ ***その他 [#m579e5a5] 「[[SoftwareName Administrative Template>https://www.google.com/search?q=SoftwareName+Administrative+Template]]」でググるとイイ。 **管理 [#g351d994] 管理テンプレートの管理 -Windows でグループ ポリシー管理用テンプレート用のセントラル ストアを作成および管理する方法~ https://support.microsoft.com/ja-jp/help/3087759/how-to-create-and-manage-the-central-store-for-group-policy-administra -グループ ポリシー管理用テンプレート (.adm)ファイルの管理に関する推奨事項~ https://support.microsoft.com/ja-jp/help/816662/recommendations-for-managing-group-policy-administrative-template-adm **参考 [#qc4b985f] -基礎から分かるグループポリシー再入門(19) - @IT~ 「管理用テンプレート」を拡張してアプリケーションの設定をカスタマイズする~ https://www.atmarkit.co.jp/ait/articles/1605/12/news025.html *参考 [#k4465bb9] -グループポリシー - Wikipedia~ https://ja.wikipedia.org/wiki/%E3%82%B0%E3%83%AB%E3%83%BC%E3%83%97%E3%83%9D%E3%83%AA%E3%82%B7%E3%83%BC -@IT --強化されたグループ・ポリシー機能~ http://www.atmarkit.co.jp/fwin2k/winsv2008r2/07gpr2/gpr2_01.html --システム設定とシステム・ポリシー~ http://www.atmarkit.co.jp/fwin2k/tutor/gpolicy01/gpolicy01_01.html ---第1回 システム設定とシステム・ポリシー ---第2回 グループ・ポリシーとは何か ---第3回 グループ・ポリシーの設定ファイル ---第4回 グループ・ポリシーの適用 ---第5回 Active Directoryにおけるグループ・ポリシー ---第6回 リンクの継承と優先度およびフィルタ機能 ---第7回 グループ・ポリシー管理コンソール(GPMC) **[[ローカル・ポリシー]] [#rca8db56] **[[グループポリシー設定リスト]] [#a11f9573] **応用 [#q8fccbfd] ***[[GPOによるプログラムの配付>プログラムの配付技術#t115691b]] [#n6ce8caf] ***更新プログラムの配信の最適化の構成 [#ze860339] -グループ ポリシーを使用して Windows 10 で Windows Update の配信の最適化を構成する方法~ https://support.microsoft.com/ja-jp/help/3088114/how-to-use-group-policy-to-configure-windows-update-delivery-optimizat -Windows 10 更新プログラムの配信の最適化の構成 (Windows 10) | Microsoft Docs~ https://docs.microsoft.com/ja-jp/windows/deployment/update/waas-delivery-optimization -配信の最適化について #2 グループポリシー篇 – Japan WSUS Support Team Blog~ https://blogs.technet.microsoft.com/jpwsus/2018/11/02/aboutdo_2/ -グループポリシーに「配信の最適化」の項目がない~ https://social.technet.microsoft.com/Forums/ja-JP/60f09e97-f5b6-4f81-a19f-6c0ed4fd9bf3?forum=winserver10TP ---- Tags: [[:セキュリティ]], [[:Active Directory]]