none
WMI フィルターで特定の条件(電子メールアドレスが登録されている)を持ったユーザーにグループポリシーを適用したい RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    OUの中の特定のユーザーのみより複雑なパスワードポリシーを適用したいと考えています。

    OUを細かく分けることでグループポリシーの設定の可否を分けようかと思いましたが、OUが複雑になりすぎるので

    今回は、特定の条件=「何らかの電子メールアドレスが登録されている」を持ったユーザーにポリシーを、WMI フィルターで設定したいと考えており、調査しています。

    名前空間 root\CIMv2クエリ "SELECT * FROM Win32_UserAccount" ・・・・・*.mail

    というような形になるのかと思うのですが、

    WMI Code Createrで該当項目を探したりしてみるものの、ユーザーのプロパティ(電子メールの項目がある)に該当すること関係する情報が見つけられず詰まってしまいました。

    どなたか、該当する項目をご教授いただけませんでしょうか。

    よろしくお願いいたします。

    2013年4月5日 1:27
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    回答が遅くなりました。すみません。

    私なりに出した答えですが、WMI Filterに直接的な条件を書く、という対応はムリかなと。結局2段階での情報特定になり、Trueの条件式が適切に作れない、と判断しています(違っていたらすみません)。

    WMI Filterで直接引けないような条件を判定する場合の一つの方法として、[基本設定]ポリシーの環境変数の「項目レベルで対象化する」を使う方法があります。

    項目レベルで対象化する、では、様々な条件におけるクエリを定義し、条件に合致(戻り値がある等)な場合、任意の環境変数を設定できます。この環境変数の有無や値をWin32_Environment クラスでフィルタするWMI Filterを作成すれば、適用を判定することができます。項目レベルで対象化、にはLDAPクエリもあり、このクエリで、「(&(objectCategory=user)(samAccountName=%LogonUser%))」を指定し、mail属性を抽出を指定する(別の入力場所(「属性」という項目)があります)ことで、任意の環境変数が指定できます(これは確認しました)。設定の仕方については、実際のマシン上で確認していただくのがいいでしょう。詳細については、英語の情報ですが、したのリンクを見てみてください。

    http://evilgpo.blogspot.de/2012/05/inverting-wmi-filters.html
    http://www.kraftkennedy.com/blog/bid/160852/Group-Policy-Preferences-Using-LDAP-Filtering-for-Targeting


    2013年4月17日 4:22
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    いまさらですが、大事な情報を言い忘れていました。すみません。

    > OUの中の特定のユーザーのみより複雑なパスワードポリシーを適用したいと考えています。

    この設定ですが、「きめ細やかなパスワードポリシー」の話しであれば、そもそもGPOで設定するものではありませんので、前提としてムリな話です。また、通常のパスワードポリシーのことであれば、ドメインオブジェクトに直接リンクしたGPO (普通はDefault Domain Policy)でないと意味はなく、セキュリティフィルタやWMIフィルターで制御したり、複数のパスワードポリシーの使い分けはできません。

    なので、パスワードポリシーに限っては、この設定自体意味がない、ということは申し上げておきます。

    • 回答としてマーク 佐伯玲 2013年5月15日 4:04
    2013年4月17日 6:05
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    WMIフィルタで使えるかどうかはわかりませんが、root\directory\ldap 名前空間を使うことになるのではないでしょうか。参考記事として、したのような情報がありますので、ファーストステップレベルですが、ひとまずご紹介しておきます。

    http://etutorials.org/Server+Administration/Active+directory/Part+III+Scripting+Active+Directory+with+ADSI+ADO+and+WMI/Chapter+26.+Scripting+with+WMI/26.7+Querying+AD+with+WMI/


    2013年4月5日 3:14
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンさん

    ありがとうございます。

    目的の項目とおぼしき項目が見つかりました。

    名前空間 root\Directory\LDAPClass ds_userDS_mail
    WMI フィルタで使えるのか、また、どうやって記述したらよいのかが最大の問題になりそうです・・・

    2013年4月5日 6:02
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    したの情報を参考にいったんクエリを書いてみたのですが、よく考えれば動かない(Trueが戻らないといけない)ものだったようです。ちょっと考えます。すみません。

    http://stackoverflow.com/questions/10184052/get-a-users-email-address-from-the-username-via-powershell-and-wmi
    http://technet.microsoft.com/en-us/library/cc779036(v=ws.10).aspx
    http://msdn.microsoft.com/en-us/library/windows/desktop/aa394605(v=vs.85).aspx





    2013年4月11日 8:44
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    回答が遅くなりました。すみません。

    私なりに出した答えですが、WMI Filterに直接的な条件を書く、という対応はムリかなと。結局2段階での情報特定になり、Trueの条件式が適切に作れない、と判断しています(違っていたらすみません)。

    WMI Filterで直接引けないような条件を判定する場合の一つの方法として、[基本設定]ポリシーの環境変数の「項目レベルで対象化する」を使う方法があります。

    項目レベルで対象化する、では、様々な条件におけるクエリを定義し、条件に合致(戻り値がある等)な場合、任意の環境変数を設定できます。この環境変数の有無や値をWin32_Environment クラスでフィルタするWMI Filterを作成すれば、適用を判定することができます。項目レベルで対象化、にはLDAPクエリもあり、このクエリで、「(&(objectCategory=user)(samAccountName=%LogonUser%))」を指定し、mail属性を抽出を指定する(別の入力場所(「属性」という項目)があります)ことで、任意の環境変数が指定できます(これは確認しました)。設定の仕方については、実際のマシン上で確認していただくのがいいでしょう。詳細については、英語の情報ですが、したのリンクを見てみてください。

    http://evilgpo.blogspot.de/2012/05/inverting-wmi-filters.html
    http://www.kraftkennedy.com/blog/bid/160852/Group-Policy-Preferences-Using-LDAP-Filtering-for-Targeting


    2013年4月17日 4:22
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    いまさらですが、大事な情報を言い忘れていました。すみません。

    > OUの中の特定のユーザーのみより複雑なパスワードポリシーを適用したいと考えています。

    この設定ですが、「きめ細やかなパスワードポリシー」の話しであれば、そもそもGPOで設定するものではありませんので、前提としてムリな話です。また、通常のパスワードポリシーのことであれば、ドメインオブジェクトに直接リンクしたGPO (普通はDefault Domain Policy)でないと意味はなく、セキュリティフィルタやWMIフィルターで制御したり、複数のパスワードポリシーの使い分けはできません。

    なので、パスワードポリシーに限っては、この設定自体意味がない、ということは申し上げておきます。

    • 回答としてマーク 佐伯玲 2013年5月15日 4:04
    2013年4月17日 6:05
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票
    こんにちは、adfarfgtrgtgtrwygw さん
    フォーラムオペレータの佐伯 玲 です。

    その後の状況はいかがでしょうか?
    チャブーン さんからさらに情報が寄せられておりますのでご確認いただいた経過や結果等ご返信いただけましたらと思います。

    宜しくお願い致します。
    __________________________
    日本マイクロソフト株式会社 フォーラム オペレータ 佐伯 玲
    2013年4月24日 5:36
    |