トップ回答者
セキュリティポリシーの同一設定項目について、ローカルポリシーでドメインポリシーの定義へさらに追加させる方法はありますか?

質問
-
こんにちは、お世話になっております。
セキュリティポリシー(グループポリシー)で、複数のアカウントを登録するようなエントリについて(たとえば、"バッチ ジョブとしてログオンさせる権利")、ドメインのポリシーで定義していると、各々のメンバサーバーでのローカルポリシー編集画面では操作できなくなりますが、たとえば次のような運用はADの仕組み上できないと解釈して正しいでしょうか?
「グループポリシーのうち、複数アイテム(アカウントなど)登録する項目について、ドメインポリシーでドメイン内共通の設定をし、さらに各メンバサーバにおいてアイテム(アカウントなど)を追加登録させる、といった運用はできない」
もし、ドメイン上で定義・配布されたポリシーについて、ローカル側でさらに追加(ドメイン上の定義削除は当然できなくてOKです)する方法がありましたらその方法を、無理なら無理である旨ご教示いただけますと幸いです。
サーバごとに少しでも異なる定義で運用したいポリシー項目は、ドメインポリシーで定義してはダメということになるでしょうか?
- 編集済み koma_deko 2014年4月4日 5:37
回答
-
チャブーンです。
セキュリティポリシーに限らず、すべてのグループポリシー項目について、「複数GPOによる同一ポリシーのマージ」はできません。この前提における、適用(上書き)ルールは、以下の通りのシンプルなものです。
- [設定A]に[未適用]が上書きされた場合、[設定A]はそのまま
- [設定A]に[設定B]が上書きされた場合、[設定B]に変更
セキュリティポリシーのポリシー項目は「値がリスト形式」になっているだけで、扱いは他のポリシーと同一です。うえに当てはめれば、双方のリスト内容をマージすることはできない、ということは理解いただけると思います。
このような場合、セキュリティフィルターを使うことで緩和できることがあります。おおむねのサーバでは同じだが、一部のサーバでだけ異なるポリシー設定がしたい場合、そのポリシーが対象コンピュータに適用しないよう、グループポリシーの管理コンソール上で、「グループポリシーの適用を拒否」を設定します。こうすることで拒否されたコンピュータ上ではローカルセキュリティポリシーの設定をそのまま生かすことができます。
http://itpro.nikkeibp.co.jp/article/COLUMN/20071105/286429/
- 編集済み チャブーンMVP, Moderator 2014年4月4日 3:07
- 回答としてマーク koma_deko 2014年4月4日 5:25
すべての返信
-
チャブーンです。
セキュリティポリシーに限らず、すべてのグループポリシー項目について、「複数GPOによる同一ポリシーのマージ」はできません。この前提における、適用(上書き)ルールは、以下の通りのシンプルなものです。
- [設定A]に[未適用]が上書きされた場合、[設定A]はそのまま
- [設定A]に[設定B]が上書きされた場合、[設定B]に変更
セキュリティポリシーのポリシー項目は「値がリスト形式」になっているだけで、扱いは他のポリシーと同一です。うえに当てはめれば、双方のリスト内容をマージすることはできない、ということは理解いただけると思います。
このような場合、セキュリティフィルターを使うことで緩和できることがあります。おおむねのサーバでは同じだが、一部のサーバでだけ異なるポリシー設定がしたい場合、そのポリシーが対象コンピュータに適用しないよう、グループポリシーの管理コンソール上で、「グループポリシーの適用を拒否」を設定します。こうすることで拒否されたコンピュータ上ではローカルセキュリティポリシーの設定をそのまま生かすことができます。
http://itpro.nikkeibp.co.jp/article/COLUMN/20071105/286429/
- 編集済み チャブーンMVP, Moderator 2014年4月4日 3:07
- 回答としてマーク koma_deko 2014年4月4日 5:25