none
GPOのセキュリティフィルター処理欄にDomain Computersだけ入れても動作していたのは何故? RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    今まで割り当てされていたGPOが急に割り当てされなくなりました。


    行なったこととしては、該当するGPOとは別のGPOを一時的に作成して不要になったので、ドメイン以下のツリー及び、グループポリシーオブジェクトから削除しました。今回のGPOは一切触っておりません。


    ちなみに、今まで以下の通り、セキュリティフィルター欄には、各コンピューターアカウントをまとめたセキュリティグループだけで登録されていて、ユーザーアカウント情報は一切含まれておりませんでした。

    GPOの適用する場合、コンピューターアカウントだけでなく、ユーザーアカウントも併せていれないと動作しない認識なのですが、今まで正常に動作していたことがおかしいのでしょうか?

    仕方なく、ネット情報に記載のAuthenticated usersを追加したところ、ポリシーを受け取るようになりました。今までAuthenticated usersがなくてもポリシーを受け取れていたことについて、どこの設定が要因か、ご経験のある方の知恵をお借りしたく存じます。





    • 編集済み SEC_U 2019年10月16日 1:54
    2019年10月16日 0:38
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    まず、前提ですが、グループポリシーの「セキュリティフィルター」などによる許可・拒否の動作保証(状態保証)はそもそもありません。おそらく、フィルター情報に関してはActive Dirctory LDAPに書かれていて、適用の結果などはレジストリにあるように思いますが、他のグループポリシーの変更によって全体が再評価され、評価が変わる可能性はあり得ます。こうした「不測の動作」をあたかも神のごとく、動作内容を説明することは、マイクロソフト自身にもできません。したがって、コミュニティメンバーにもムリな話しですので、どうしてもこの動作に白黒をつけたい、ならMS有償サポートに調査を依頼してください。その際「どうやると問題が再現するのか」は必ずきかれますので、これを示せない場合、回答はほぼ得られないと思います。

    セキュリティフィルター処理について「Domain Computers」グループのみが対象になっている場合、「コンピューターの構成」ポリシーや基本設定については、そのまま適用されます。「ユーザーの構成」に属するポリシーはユーザー(または属するグループ)の追加設定が必要ですが、コンピューターの構成が対象であれば、必要ありません。

    「コンピューターの構成」「ユーザーの構成」どちらも適用可能な単一のセキュリティグループが「Authenticated Users」になります。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2019年10月16日 13:01
    |

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    セキュリティ フィルターの動作は更新プログラムによって変更されている部分がありますが、直近で適用された更新プログラムはなかったでしょうか?

    Hebikuzure aka Murachi Akira

    2019年10月16日 2:03
    |
  • Question
    サインインして投票
    0
    サインインして投票

    ご返信ありがとうございます。

    先月正常に実施できたWindows Update以後の更新分は以下画像の通りです。



    • 編集済み SEC_U 2019年10月16日 2:21
    2019年10月16日 2:12
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    まず、前提ですが、グループポリシーの「セキュリティフィルター」などによる許可・拒否の動作保証(状態保証)はそもそもありません。おそらく、フィルター情報に関してはActive Dirctory LDAPに書かれていて、適用の結果などはレジストリにあるように思いますが、他のグループポリシーの変更によって全体が再評価され、評価が変わる可能性はあり得ます。こうした「不測の動作」をあたかも神のごとく、動作内容を説明することは、マイクロソフト自身にもできません。したがって、コミュニティメンバーにもムリな話しですので、どうしてもこの動作に白黒をつけたい、ならMS有償サポートに調査を依頼してください。その際「どうやると問題が再現するのか」は必ずきかれますので、これを示せない場合、回答はほぼ得られないと思います。

    セキュリティフィルター処理について「Domain Computers」グループのみが対象になっている場合、「コンピューターの構成」ポリシーや基本設定については、そのまま適用されます。「ユーザーの構成」に属するポリシーはユーザー(または属するグループ)の追加設定が必要ですが、コンピューターの構成が対象であれば、必要ありません。

    「コンピューターの構成」「ユーザーの構成」どちらも適用可能な単一のセキュリティグループが「Authenticated Users」になります。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。


    2019年10月16日 13:01
    |
  • Question
    サインインして投票
    0
    サインインして投票

    フォーラムにご投稿くださいましてありがとうございます

    チャブーンさんから寄せられた投稿はお役に立ちましたか。

    参考になった投稿には「回答としてマーク」をご設定ください

    ご不明な点がございましたら、お気軽にお問い合わせください

     

    Fan

    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2019年10月17日 1:40
    |
    モデレータ