初めてのWindows Server 2008R2(Active Directory編):グループポリシーの設定
グループポリシーは、サイト=>ドメイン=>OUにリンク(適用)させることができ、上位から下位に継承される。
以前にいた会社で、グループポリシーの設定がぐちゃぐちゃになってしまい、お客さんにひどく怒られたことがある。
グループはアクセス権限、OUは役割と考えるとシンプルだと思う。
いずれにしても、シンプルにきちんと設計するにこしたことはない。クライアントにも100%適用させきれない可能性がある(とくに、複数の1つのクライアントを複数のユーザーで利用する場合など)。
「管理ツール」−「グループ ポリシーの管理」を開き、ドメイン(eranger.local)をクリックすると、Default Domainというグループポリシーが適用されていることがわかる。
ここでは、OU=DemoUsers,CN=demoを作成し、demoユーザーには「コントロールパネルが表示されない」ようにしてみる。
DemoUsersを選択して右クリック。「このドメインにGPOを作成しこのコンテナ(OUのこと)にリンクする」を選ぶ。GPOの名前はnocontrolとした。
グループポリシーの管理画面でDemoUsersをクリックすると、nocontrolがリンクされていることがわかる。
ここで、nocontrolを選択し、右クリックで「編集」を選ぶ。
左ペインは、登録されたコンピュータへのポリシーなのか、ユーザーに対するポリシーなのかで2つに分かれている。
基本設定は、クライアントがXP(SP3で検証)、Vistaの場合、パッチ(『Windows XP 用グループ ポリシーの基本設定クライアント側拡張機能(KB943729)』)を当てなければ有効にならないので注意。
ここでは、「ユーザーの構成」-「ポリシー」-「管理用テンプレート」を選ぶ。
管理用テンプレートには、ポリシーの内容と適用できるクライアントの種類(Vista以降など)が説明されている。
「コントロールパネル」を展開すると、ポリシーの一覧がでるので、「コントロールパネルへのアクセスを禁止する」を選択する。すると、windows2000以降に有効なポリシーであると表示されます。また、前提条件がかかれているので、それもチェックする。
以下の画面で有効にして、適用、OKとする。
グループポリシーの管理からは、適用の優先順位をみることができる。GPOに「強制」という属性をもたせない限り、この順でGPOが手供される。
作成したGPOは、DemoUsersに属するユーザー(demo)がログイン時(もしくは、一定間隔で)に適用されるが、クライアントのコマンドプロンプトで
gpupdate /force
とすることで適用させることができる。適用されることができない場合はエラーメッセージがあがるので、適用されない場合には、これで確認できる。
また、クライアントに適用されているGPOをみるには、コマンドプロンプトで
gpresult
コマンドを使います。