none
既定のDomain controllers PolicyをDefault first Site Name(サイト)にリンクさせた場合の影響について RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    いつもお世話になっております。

    表題の通り、Default Domain Controllers Policy(以下DCポリシー)を

    Default First Site Name(以下DFSN)にリンクさせた場合の端末への影響について質問です。

    現在運用中のADで既定のDCポリシーがDFSNにリンクされている問題を発見しました。

    (ドメインで定義しているサイトはDFSNのみです)

    この場合、ドメインに登録された端末の全てにDCポリシーが適用されてしまうかと思います。

    端末側でcmd(管理者)→gpresult/V を実行すると、監査ポリシーやユーザーの権利、

    ユーザーのセキュリティ特権でDC用の項目が適用されていました。

    このままではセキュリティ上問題があると考え、最終的にはDCポリシーのリンクを

    DFSNから解除しようと考えていますが、その前にいくつか分からない箇所があるので質問させてください。

    1.既定のDCポリシーをDFSNにリンクした場合、影響範囲としてはどの程度大きいものでしょうか?

     (ADの運用を直ちにストップする必要があるくらい重要なものですか?)

    2.現在稼働中のAD環境でサイトへのDCポリシーリンクを削除した場合、考えられるリスクや

     実施前に対処が必要な問題がありますか?(端末がドメインに参加出来なくなる、AD機能が使用不能になるなど)

    3.各端末への無影響が確認出来れば、DCポリシーが個別端末に当たらないよう処置をしたいのですが

     その場合はDFSNへのDCポリシーリンクを削除する事で完了すると認識しています。

     他に注意点などあればご教授下さい。

    以上です。

    よろしくお願いします。

    2017年12月22日 10:36
    |

回答

  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    この件ですが、「普通に考える」という前提であれば、単にサイトへのリンクを削除すれば、問題はありません。

    Default Domain Controllers Policyがクライアントに適用されてしまった場合、クライアント側の「ユーザー権利の割り当て」「セキュリティオプション」「監査ポリシー」などが変わるだけです。またActive Directory認証はクライアントの設定には基本的には影響を受けませんので、動作上の致命的な問題は発生しません。

    リンクを外すこと自体へのリスクはありません。ただし、業務上でクライアントに対してそれが前提になっている(たとえば監査イベントログをドメインコントローラーと揃えたい)があれば、設定が変わりますから、結果も変わります。

    グループポリシーですが、セキュリティーポリシーが絡む場合、若干注意が必要です。セキュリティポリシーも内部的にはレジストリで制御されていますが、「管理テンプレート」の項目と違うのは、該当するレジストリが直接変更される(グループポリシー用の専用レジストリはない)、という点です。単純にリンクを外した場合、その設定が残ってしまう(タトゥー効果)可能性が高いのですが、それを直してくれるのが「ローカルセキュリティポリシー」の存在です。ローカルセキュリティポリシーが想定されたものになっているか、念のため確認しましょう。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。




    2017年12月24日 3:29
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    この件ですが、「普通に考える」という前提であれば、単にサイトへのリンクを削除すれば、問題はありません。

    Default Domain Controllers Policyがクライアントに適用されてしまった場合、クライアント側の「ユーザー権利の割り当て」「セキュリティオプション」「監査ポリシー」などが変わるだけです。またActive Directory認証はクライアントの設定には基本的には影響を受けませんので、動作上の致命的な問題は発生しません。

    リンクを外すこと自体へのリスクはありません。ただし、業務上でクライアントに対してそれが前提になっている(たとえば監査イベントログをドメインコントローラーと揃えたい)があれば、設定が変わりますから、結果も変わります。

    グループポリシーですが、セキュリティーポリシーが絡む場合、若干注意が必要です。セキュリティポリシーも内部的にはレジストリで制御されていますが、「管理テンプレート」の項目と違うのは、該当するレジストリが直接変更される(グループポリシー用の専用レジストリはない)、という点です。単純にリンクを外した場合、その設定が残ってしまう(タトゥー効果)可能性が高いのですが、それを直してくれるのが「ローカルセキュリティポリシー」の存在です。ローカルセキュリティポリシーが想定されたものになっているか、念のため確認しましょう。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。




    2017年12月24日 3:29
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーン様

    お世話になります。ご回答ありがとうございます。

    サイトへのリンクを外す場合、クライアントとドメコンを連携させるような設定が必要なければ

    特にリスクは無しという事でよろしいでしょうか。

    また、セキュリティポリシーの項目ですが例えば現在のDCポリシーは「ローカルログオンを許可」の項目に

    BUILTINのAdministratorやDomain Adminsが割り当てられています。

    これらのセキュリティポリシーは何に対して権利を与えているのでしょうか?

    Domain Controller役のサーバにログオンする場合の権利がこれらのユーザーに与えられているという事でしょうか?

    この辺の理解が足りないためにセキュリティポリシーが有効になっているグループポリシーを

    外した場合の影響度合いがよく分かっておりません。

    よろしければご教授いただけれると助かります。

    2017年12月25日 4:32
    |
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーンです。

    ユーザー権利の割り当て、の項目は、単純にはいいにくいのですが、OSの内部リソースに対するアクセス権限が定義されています。なにができるのか、はしたのページとそのリンク先をご覧になってみてください。

    https://technet.microsoft.com/ja-jp/library/mt629101(v=vs.85).aspx

    ちなみにおっしゃる項目「ローカルログオンを許可」は、[Alt]+[Ctrl]+[Del]ボタンの画面から「どのユーザーがログオンできる」か決める項目です。

    普通であれば、管理者ユーザーと通常ユーザーの両方がログオンできますが、ドメインコントローラーはセキュリティ要件が高いため、「管理者ユーザー」だけがろぐおんできるよう、クライアントと設定が変えてあるわけです。

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。

    2017年12月26日 3:10
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    チャブーン様

    ご回答、ありがとうございました。

    ユーザー権利の割り当て項目は、やはりOSに絡むものが多いようですね。

    technetの解説リンクを見てもどうも理解出来なかったため、ご回答頂き助かりました。

    項目が多いため一つずつ勉強いたします。

    この度は本当にありがとうございました。

    最初に頂いたご返信を今回の回答としてマークさせて頂きます。

    2017年12月26日 5:05
    |