none
OUのポリシーがうまく反映されません。

    質問

  • 現在、WS2008 R2を使って、Active Directoryを構築しているものです。

    今、グループポリシーで、「営業部」「経理部」というOUをつけ、それぞれにGPOをリンクしています。

    それで、「営業部」「経理部」のほうに、ユーザーの構成から、タスクバーとスタートメニューに行き、その中の「従来の「スタート」メニューを強制する」を有効にしてたのですが、gpupdate/forceで更新したり、再起動して該当のユーザーで入ってもなかなか適用されなくて困っています。

    ちなみに、「営業部」にあるeigyou1のユーザのポリシー結果は以下の通りになっており、OUのポリシーが適用されたか否かも表示されていない状況にあります。

    ちなみに、追加ですが、この「営業部」「経理部」というのは、グループを対象にしてポリシーを適用させているつもりなのですが、それがおかしいのでしょうか?

    かなりわかりにくくなってすいません。

    よろしくお願いします。

    • 移動 Yuanli Guo 郭远丽 2012年10月2日 10:11 merge (移動元:Windows Server 2008 R2 全般)
    2012年6月7日 7:59

回答

  • それぞれの個別設定に関しては、ご自分でお調べになれると思いますので、設計の基本は以下の通り

    • GPOで行いたいタスクを洗い出し、タスクごとのGPOを作成する
    • OU構造の設計を行う。この際、GPOの継承によりうまく設定が伝搬されるようにすることがポイント
    • OUに「ユーザー」「コンピューター」オブジェクトを配置する
    • なるべく、セキュリティフィルタ処理や継承のブロック、強制などは使わない
    • トップレベルのOUに下位OUを含めて共通のGPOを割り当てる(継承を利用する)

    などでしょうか?

    マイクロソフト公式解説書:
    Microsoft Windows Server 2008リソースキット グループポリシー編

    このような書籍も出ています。

    以上、参考になれば幸いです。


    MVP:Virtual Machine Blog:MCTの憂鬱

    http://naonao71.wordpress.com/

    2012年6月8日 2:01
    モデレータ
  • >グループを対象にしてポリシーを適用させているつもりなのですが、それがおかしいのでしょうか?

    はい、「グループポリシー」の適用対象は「コンピューター」および「ユーザー」であり、該当のOU配下にユーザーorコンピューターが

    配置されている必要がありますので、ユーザーが所属するグループを配置してもダメです。eigyou1ユーザーを営業OU配下に配置して

    gpupdate/forceを実行してみて下さい。

    P.S 「グループポリシー」という言葉に惑わされてしまう方が多いのですが、ここでのグループは「営業部」グループなどの意味ではないのです(泣)。

    2012年6月7日 11:26
  • GPOとOUの関係性における基本的なこととして

    GPOが適用されるのは、目的のOUに存在する「ユーザーオブジェクト」と「コンピューターオブジェクト」のみです。グループに対しては適用されません。

    「スコープ」タブにある「セキュリティフィルタ処理」の設定で、Authenticated Users が入っているのは、GPOがリンクされている「OU」に存在する「ユーザーオブジェクト」がドメインに存在するユーザーならば適用するという意味です。

    > 「ユーザーが所属するグループを配置してもダメです」とあるのですが、「スコープ」タブにある「セキュリティフィルタ処理」でAuthenticated Usersを削除してeigyou1らが所属しているセキュリティグループの「eigyou」を当ててもだめなのでしょうか?

    よってこの場合、OUに存在するユーザーの中で、eigyou1グループのメンバーならば適用するという意味になります。

    >というより、セキュリティグループにポリシーを当てること事態が無理なのでしょうか?

    無理です。そもそも、GPOはOUに対して割り当てるものです。

    以上、参考になれば幸いです。


    MVP:Virtual Machine Blog:MCTの憂鬱

    http://naonao71.wordpress.com/

    2012年6月8日 0:42
    モデレータ
  • わかりました。

    丁寧な回答、ありがとうございます^^

    自分のほうでもいろいろ試してみたいと思います。

    また何かありましたら、よろしくお願いします(^_^)/

    • 回答としてマーク kimurock 2012年6月8日 2:16
    2012年6月8日 2:16

すべての返信

  • >グループを対象にしてポリシーを適用させているつもりなのですが、それがおかしいのでしょうか?

    はい、「グループポリシー」の適用対象は「コンピューター」および「ユーザー」であり、該当のOU配下にユーザーorコンピューターが

    配置されている必要がありますので、ユーザーが所属するグループを配置してもダメです。eigyou1ユーザーを営業OU配下に配置して

    gpupdate/forceを実行してみて下さい。

    P.S 「グループポリシー」という言葉に惑わされてしまう方が多いのですが、ここでのグループは「営業部」グループなどの意味ではないのです(泣)。

    2012年6月7日 11:26
  • >グループを対象にしてポリシーを適用させているつもりなのですが、それがおかしいのでしょうか?

    はい、「グループポリシー」の適用対象は「コンピューター」および「ユーザー」であり、該当のOU配下にユーザーorコンピューターが

    配置されている必要がありますので、ユーザーが所属するグループを配置してもダメです。eigyou1ユーザーを営業OU配下に配置して

    gpupdate/forceを実行してみて下さい。

    P.S 「グループポリシー」という言葉に惑わされてしまう方が多いのですが、ここでのグループは「営業部」グループなどの意味ではないのです(泣)。

        以前も返信ありがとうございます。

       「ユーザーが所属するグループを配置してもダメです」とあるのですが、「スコープ」タブにある「セキュリティフィルタ処理」でAuthenticated Usersを削除してeigyou1らが所属しているセキュリティグループの「eigyou」を当ててもだめなのでしょうか?

       というより、セキュリティグループにポリシーを当てること事態が無理なのでしょうか?(2008のリソースキットを見る限り、できるようなことを書いてあったのですが・・・。)

         また、「P.S 「グループポリシー」という言葉に惑わされてしまう方が多いのですが、ここでのグループは「営業部」グループなどの意味ではないのです(泣)。」と書かれていたのですが、これはどういったことをおっしゃってるのでしょうか?

       正直のところ、いろいろ混乱しております・・・(泣)

       勉強不足で、申し訳ないです・・・。

       よろしくお願いします。

      

      

    2012年6月8日 0:18
  • GPOとOUの関係性における基本的なこととして

    GPOが適用されるのは、目的のOUに存在する「ユーザーオブジェクト」と「コンピューターオブジェクト」のみです。グループに対しては適用されません。

    「スコープ」タブにある「セキュリティフィルタ処理」の設定で、Authenticated Users が入っているのは、GPOがリンクされている「OU」に存在する「ユーザーオブジェクト」がドメインに存在するユーザーならば適用するという意味です。

    > 「ユーザーが所属するグループを配置してもダメです」とあるのですが、「スコープ」タブにある「セキュリティフィルタ処理」でAuthenticated Usersを削除してeigyou1らが所属しているセキュリティグループの「eigyou」を当ててもだめなのでしょうか?

    よってこの場合、OUに存在するユーザーの中で、eigyou1グループのメンバーならば適用するという意味になります。

    >というより、セキュリティグループにポリシーを当てること事態が無理なのでしょうか?

    無理です。そもそも、GPOはOUに対して割り当てるものです。

    以上、参考になれば幸いです。


    MVP:Virtual Machine Blog:MCTの憂鬱

    http://naonao71.wordpress.com/

    2012年6月8日 0:42
    モデレータ
  • 返信ありがとうございます。

    少しずつわかって来た感じはありますが、まだ不安なのでよろしければ解答していただけるとありがたいです。

    たとえば、ユーザが100人前後いて、さらにたとえば「営業部」の下に細かい役職とかだったり、「営業部」「経理部」といった枠を超えて、臨時に「プロジェクトチーム」のようなものが出来上がった場合のポリシー設定というのは、どのように行えばよろしいのでしょうか?

    ちなみに、今やりたいことは以下の通りです。

    ・フォルダリダイレクト

    ・移動ユーザプロファイル

    ・アクセス権やローカルセキュリティポリシーの設定時の一括設定

    1個1個ユーザやコンピュータにポリシーをつけたりするのは、あまり効率としてよろしくないと思うのですが、何かいいアイディアがあれば教えていただきたいです・・・。

    いろいろお手数かけます、よろしくお願いします。

    2012年6月8日 1:13
  • それぞれの個別設定に関しては、ご自分でお調べになれると思いますので、設計の基本は以下の通り

    • GPOで行いたいタスクを洗い出し、タスクごとのGPOを作成する
    • OU構造の設計を行う。この際、GPOの継承によりうまく設定が伝搬されるようにすることがポイント
    • OUに「ユーザー」「コンピューター」オブジェクトを配置する
    • なるべく、セキュリティフィルタ処理や継承のブロック、強制などは使わない
    • トップレベルのOUに下位OUを含めて共通のGPOを割り当てる(継承を利用する)

    などでしょうか?

    マイクロソフト公式解説書:
    Microsoft Windows Server 2008リソースキット グループポリシー編

    このような書籍も出ています。

    以上、参考になれば幸いです。


    MVP:Virtual Machine Blog:MCTの憂鬱

    http://naonao71.wordpress.com/

    2012年6月8日 2:01
    モデレータ
  • わかりました。

    丁寧な回答、ありがとうございます^^

    自分のほうでもいろいろ試してみたいと思います。

    また何かありましたら、よろしくお願いします(^_^)/

    • 回答としてマーク kimurock 2012年6月8日 2:16
    2012年6月8日 2:16
  • こんにちは。
    フォーラム オペレーターの田中夢です。
     
    カディス さん、ABE NAOKI さん
    いつも参考になるアドバイスをありがとうございます。
     
    kimurock さん
    こちらのご質問につきましては、カディス さんと ABE NAOKI さんからのアドバイスを参考にしていただけたようですので、勝手ながら私のほうで [回答としてマーク] とさせていただきますね。
     
     
    今後とも、TechNet フォーラムをどうぞよろしくお願いいたします。
    ---------------------------------------------------------------------
    日本マイクロソフト株式会社 フォーラム オペレーター 田中夢
    2012年6月13日 8:25
    モデレータ