ローカルセキュリティポリシーの適用について

すべての返信

• 

  

  0

  サインインして投票

  チャブーンです。

  この件ですが、Active Directoryのしくみ上、

  • オンラインで運用している場合は、GPOで設定したポリシーを適用
  • オフラインで運用している場合は、ローカルセキュリティテンプレートで作成したポリシーを適用

  は、そもそもできません。ドメイン参加した時点でGPOはローカルポリシーを常に上書きします。この順序を変えたりやめさせたりすることはできません。「ドメイン管理者の意図した設定をつねにクライアントに強制させる」ことで、管理コストを下げるモデルとしてデザインされているためです。

  ところで、オフライン時に何を変更したいのでしょうか？問題の詳細や意図がわかると、別のやり方で解決できる可能性があります。

  ---

  フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

  
  

  • 編集済み チャブーンMVP 2019年2月21日 4:08

  2019年2月21日 4:08

  返信

  |

  引用
• 

  

  0

  サインインして投票

  チャブーン様

  返信、ありがとうございます。

  実現したいことは、管理工数を削減するために、オフライン運用時のセキュリティ強度を下げることです。
  具体的には、パスワード関連の設定です。
  

  セキュリティ上の課題があることは十分承知しています。
  しかし、オンライン時のセキュリティ強度が強すぎるため、オフライン時にパスワード間違いによる対応工数が増大しすぎるのです。（GPOのセキュリティ設定は、事情により変更できません。）

  なお、オフライン時はローカルユーザーを使用します。（ドメインのログオンキャッシュをオフにするため。）
  そのため、オンライン／オフラインの判定は、ドメインユーザー／ローカルユーザーの判断でも大丈夫かもしれません。

  
  

  • 編集済み Melchior21th 2019年2月21日 11:26

  2019年2月21日 11:25

  返信

  |

  引用
• 

  

  1

  サインインして投票

  パスワードの要件だけであれば、通常のポリシーではなく Password Setting Object で構成すれば、特定のドメインユーザ/グループに対するパスワード要件を設定できます。

  グループポリシーでオフライン時の最低要件を定義し、オンライン（ドメイン ユーザーでのサインイン）時の要件を Password Setting Object で定義すれば良いかと思います。

  参考

  • https://blogs.technet.microsoft.com/canitpro/2013/05/29/step-by-step-enabling-and-using-fine-grained-password-policies-in-ad/
  • https://www.rem-system.com/win2016-ad-pso/

  ---

  Hebikuzure aka Murachi Akira

  2019年2月21日 12:31

  返信

  |

  引用
• 

  

  0

  サインインして投票

  チャブーンです。

  なるほど。

  しかし、オンライン時のセキュリティ強度が強すぎるため、オフライン時にパスワード間違いによる対応工数が増大しすぎるのです。（GPOのセキュリティ設定は、事情により変更できません。）
  
  なお、オフライン時はローカルユーザーを使用します。（ドメインのログオンキャッシュをオフにするため。）

  そういうことでしたら、「パスワードポリシー」を別に設定したGPOを、対象のコンピューターオブジェクトがあるOUにリンクして適用するといいでしょう。この場合、パスワードポリシーは以下のように設定されます。

  • ドメインアカウントのパスワードポリシー:Default Domain Policyの内容通り
  • ローカルアカウントのパスワードポリシー:別に設定したGPOの内容通り

  ---

  フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

  2019年2月22日 3:23

  返信

  |

  引用