locked
セキュリティポリシーの同一設定項目について、ローカルポリシーでドメインポリシーの定義へさらに追加させる方法はありますか? RRS feed

  • 質問

  • こんにちは、お世話になっております。

    セキュリティポリシー(グループポリシー)で、複数のアカウントを登録するようなエントリについて(たとえば、"バッチ ジョブとしてログオンさせる権利")、ドメインのポリシーで定義していると、各々のメンバサーバーでのローカルポリシー編集画面では操作できなくなりますが、たとえば次のような運用はADの仕組み上できないと解釈して正しいでしょうか?

    「グループポリシーのうち、複数アイテム(アカウントなど)登録する項目について、ドメインポリシーでドメイン内共通の設定をし、さらに各メンバサーバにおいてアイテム(アカウントなど)を追加登録させる、といった運用はできない」

    もし、ドメイン上で定義・配布されたポリシーについて、ローカル側でさらに追加(ドメイン上の定義削除は当然できなくてOKです)する方法がありましたらその方法を、無理なら無理である旨ご教示いただけますと幸いです。

    サーバごとに少しでも異なる定義で運用したいポリシー項目は、ドメインポリシーで定義してはダメということになるでしょうか?


    • 編集済み koma_deko 2014年4月4日 5:37
    2014年4月4日 1:28

回答

  • チャブーンです。

    セキュリティポリシーに限らず、すべてのグループポリシー項目について、「複数GPOによる同一ポリシーのマージ」はできません。この前提における、適用(上書き)ルールは、以下の通りのシンプルなものです。

    • [設定A]に[未適用]が上書きされた場合、[設定A]はそのまま
    • [設定A]に[設定B]が上書きされた場合、[設定B]に変更

    セキュリティポリシーのポリシー項目は「値がリスト形式」になっているだけで、扱いは他のポリシーと同一です。うえに当てはめれば、双方のリスト内容をマージすることはできない、ということは理解いただけると思います。

    このような場合、セキュリティフィルターを使うことで緩和できることがあります。おおむねのサーバでは同じだが、一部のサーバでだけ異なるポリシー設定がしたい場合、そのポリシーが対象コンピュータに適用しないよう、グループポリシーの管理コンソール上で、「グループポリシーの適用を拒否」を設定します。こうすることで拒否されたコンピュータ上ではローカルセキュリティポリシーの設定をそのまま生かすことができます。

    http://itpro.nikkeibp.co.jp/article/COLUMN/20071105/286429/



    2014年4月4日 2:56

すべての返信

  • チャブーンです。

    セキュリティポリシーに限らず、すべてのグループポリシー項目について、「複数GPOによる同一ポリシーのマージ」はできません。この前提における、適用(上書き)ルールは、以下の通りのシンプルなものです。

    • [設定A]に[未適用]が上書きされた場合、[設定A]はそのまま
    • [設定A]に[設定B]が上書きされた場合、[設定B]に変更

    セキュリティポリシーのポリシー項目は「値がリスト形式」になっているだけで、扱いは他のポリシーと同一です。うえに当てはめれば、双方のリスト内容をマージすることはできない、ということは理解いただけると思います。

    このような場合、セキュリティフィルターを使うことで緩和できることがあります。おおむねのサーバでは同じだが、一部のサーバでだけ異なるポリシー設定がしたい場合、そのポリシーが対象コンピュータに適用しないよう、グループポリシーの管理コンソール上で、「グループポリシーの適用を拒否」を設定します。こうすることで拒否されたコンピュータ上ではローカルセキュリティポリシーの設定をそのまま生かすことができます。

    http://itpro.nikkeibp.co.jp/article/COLUMN/20071105/286429/



    2014年4月4日 2:56
  • チャブーン様

    どうも有難う御座います。

    複数のポリシー(ドメインポリシーとローカルポリシーなど)から、同一設定内の複数指定可能な項目(リスト形式)をマージさせることは出来ないのですね。

    "バッチ ジョブとしてログオン" のアカウント指定にグループアカウントを利用したり、"バッチ ジョブとしてログオンを拒否" の項目を利用したりして、うまく組み合わせてみます。

    ポリシー適用先に、セキュリティフィルターを利用することで、OU だけでなくグループアカウント単位で制御することも、機会があり次第利用してみたいと思います。

    2014年4月4日 5:36