none
ローカルコンピュータアカウントでログインしているPCに2008R2からグループポリシーを適用させる RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    WINDOWS 2008 R2 のサーバー環境にてグループポリシーを設定していますクライアントPCはXP PRO,7 PRO(64BIT)、ドメインに参加しておりますがすべて管理者権限をもっているローカルコンピュータアカウントでログインしています。

    2008 R2 のグループポリシーにてクライアントのPCの以下の制御をグループポリシーで設定した場合、コンピュータの構成、ユーザーの構成とも適用NGでした。

    ちなにみドメインコンピュータアカウントでログインしましたら適用OKでした

    LAN接続のプロパティへのアクセスを禁止する

    オフラインファイルの使用を禁止する

    宜しくお願い致します


    • 編集済み 雷稲妻 2012年10月4日 9:10
    • 移動 星 睦美 2012年10月5日 8:01 Active Directory に関する質問 (移動元:Windows Server 2008 全般)
    2012年10月4日 8:56
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    それが正しい動作のはずですね。

    GPOはドメインで設定するのもですから・・・・

    もし個別ユーザーにローカルのadministrator権限が必要なら、そのドメインユーザーをローカルのadministrator権限に追加すればいいのではないでしょうか?

    以上、参考になれば幸いです。

    MVP:Virtual Machine Blog:MCTの憂鬱

    http://naonao71.wordpress.com/

    • 回答としてマーク 雷稲妻 2012年10月5日 7:19
    • 回答としてマークされていない 雷稲妻 2012年10月5日 7:20
    • 回答としてマーク 雷稲妻 2012年10月5日 13:59
    2012年10月5日 4:04
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    実際に検証しないとわからないところもあるのですが・・・・

    確かに、GPOはL-S-D-OU-OUの順番で適用されます。しかし、ローカルにログインした場合はドメインではないのでたとえGPOがコンピューターに適用されても実際には使用されないと理解しています。

    これが、ネットワークに接続していない状態でドメインアカウントを使用した場合は、前回適用されたGPOがそのまま使用されます。

    このポイントはGPOでは直接レジストリを書き換えているわけではなく、ポリシー専用のレジストリ領域があってそちらに書き込まれます。そしてそれをみて適用されます。ですので、GPOを外せば元の状態に戻るのはこのためです。

    要するに、ドメインユーザーでないと、このポリシー専用のレジストリ領域を見ていないのではないかと推測できますね。

    以上、参考になれば幸いです。

    MVP:Virtual Machine Blog:MCTの憂鬱

    http://naonao71.wordpress.com/

    • 回答としてマーク 雷稲妻 2012年10月5日 7:19
    2012年10月5日 6:46
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票
    あくまでもローカルですので、サーバー側から管理はできませんね。

    MVP:Virtual Machine Blog:MCTの憂鬱

    http://naonao71.wordpress.com/

    • 回答としてマーク 雷稲妻 2012年10月5日 7:16
    • 回答としてマークされていない 雷稲妻 2012年10月5日 7:16
    • 回答としてマーク 雷稲妻 2012年10月5日 7:19
    2012年10月5日 7:12
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    それが正しい動作のはずですね。

    GPOはドメインで設定するのもですから・・・・

    もし個別ユーザーにローカルのadministrator権限が必要なら、そのドメインユーザーをローカルのadministrator権限に追加すればいいのではないでしょうか?

    以上、参考になれば幸いです。

    MVP:Virtual Machine Blog:MCTの憂鬱

    http://naonao71.wordpress.com/

    • 回答としてマーク 雷稲妻 2012年10月5日 7:19
    • 回答としてマークされていない 雷稲妻 2012年10月5日 7:20
    • 回答としてマーク 雷稲妻 2012年10月5日 13:59
    2012年10月5日 4:04
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    ABE様

    お世話になります

    雷です。

    ご返答、ありがとうございます。

    該当PCはドメインに参加している状況で

    GPOの理解についてドメインGPOはローカルGPOより優先で適用されるとの解釈からユーザーがそのPCに管理者権限のあるローカルコンピュータアカウントでログインしていても適用されるとおもっておりました。(特にコンピュータの構成)


    • 編集済み 雷稲妻 2012年10月5日 6:19
    2012年10月5日 6:14
    |
  • Question
    サインインして投票
    0
    サインインして投票

    実際に検証しないとわからないところもあるのですが・・・・

    確かに、GPOはL-S-D-OU-OUの順番で適用されます。しかし、ローカルにログインした場合はドメインではないのでたとえGPOがコンピューターに適用されても実際には使用されないと理解しています。

    これが、ネットワークに接続していない状態でドメインアカウントを使用した場合は、前回適用されたGPOがそのまま使用されます。

    このポイントはGPOでは直接レジストリを書き換えているわけではなく、ポリシー専用のレジストリ領域があってそちらに書き込まれます。そしてそれをみて適用されます。ですので、GPOを外せば元の状態に戻るのはこのためです。

    要するに、ドメインユーザーでないと、このポリシー専用のレジストリ領域を見ていないのではないかと推測できますね。

    以上、参考になれば幸いです。

    MVP:Virtual Machine Blog:MCTの憂鬱

    http://naonao71.wordpress.com/

    • 回答としてマーク 雷稲妻 2012年10月5日 7:19
    2012年10月5日 6:46
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    ABE様

    お世話になります

    雷です

    再度の返答、有難うございます

    GPOのレジストリの部分、大変、参考になり、理解できました。有難うございます。

    申し訳ありません、本編より逸脱してしまいますが

    ローカルのGPOをサーバー側からコントロールする方法はあるのでしょうか

    宜しくお願い致します

    2012年10月5日 6:58
    |
  • Question
    サインインして投票
    0
    サインインして投票
    あくまでもローカルですので、サーバー側から管理はできませんね。

    MVP:Virtual Machine Blog:MCTの憂鬱

    http://naonao71.wordpress.com/

    • 回答としてマーク 雷稲妻 2012年10月5日 7:16
    • 回答としてマークされていない 雷稲妻 2012年10月5日 7:16
    • 回答としてマーク 雷稲妻 2012年10月5日 7:19
    2012年10月5日 7:12
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    ABE様

    お世話になります

    雷です

    ご返答、有難うございます

    ローカルの設定も含めてGPOの設定について大変参考になりました。有難うございました


    • 編集済み 雷稲妻 2012年10月5日 14:00
    2012年10月5日 7:19
    |