オラクる。

oracle専門ブログにしてみようかな~っと

カテゴリ:Active Directory > GPO

フォルダーリダイレクト機能を利用するとユーザーのドキュメントやお気に入りをローカルディスクではなく、共有フォルダに配置することが出来ます。
そうすることによって、あるユーザーが違うコンピュータにサインインしても同じドキュメントやお気に入りを見ることが出来ます。
利用する仮想マシンが変わるかもしれない仮想デスクトップ環境では有用な機能です。

2_000008

フォルダーリダイレクト機能はGPOで制御します。
フォルダーリダイレクト機能を利用したいOUに設定されているGPOを編集します。

2_000009

GPOの編集画面から「ユーザーの構成」→「ポリシー」→「Windowsの設定」→「フォルダーリダイレクト」を開きます。
フォルダーリダイレクトの設定が可能なフォルダ名の一覧が表示されています。

2_000010

フォルダーリダイレクトを行ないたいフォルダを右クリックして、プロパティを選択します。

2_000011

 プロパティが開くので、「対象のフォルダーの場所」で「ルートパスの下に各ユーザーのフォルダを作成する」を選択します。
ルートパスとして共有フォルダをUNCパスで作成します。

このように設定することによって、設定した共有フォルダに各ユーザーのフォルダが作成され、 そこにフォルダーリダイレクトされたデーターが配置されます。

前回紹介したADMX、ADMLファイルはPolicyDefinitionsフォルダにコピーしても、他のドメインコントローラには複製されません。
1つのドメインにドメインコントローラが複数ある場合は、 PolicyDefinitionsフォルダを他のドメインコントローラに手動でコピーする必要があります。
また、何か修正を行った場合は、再度フォルダの内容をコピーする必要があります。

ADMX、ADMLファイルを他のドメインコントローラに自動で複製させたい場合は、ADMX、ADMLファイルをセントラルストアと呼ばれる場所に格納します。
また、GPOはセントラルストアに格納されているADMX、ADMLを優先的に参照するので、修正内容は自動的に他のドメインコントローラにも反映されるようになります。
セントラルストアの配置場所は%systemroot%\SYSVOL\sysvol\(ドメイン名)\Policiesになります。

2_000005

前回ADMX/ADMLを配置したc:\windows\PolicyDefinitionsの内容をコピーして・・・

2_000006
 
c:\Windows\SYSVOL\sysvom\(ドメイン名)\Policiesにコピーします。

2_000007

ここでコピーした内容は他のドメインコントローラにも自動的に反映されます。 

「制限されたグループ」では、すでに作成済みのグループのメンバーを制御することは出来ますが、新規にグループを作成することは出来ません。
しかし、GPOの「基本設定」内にある「ローカルユーザーとグループ」を利用すると、新規にグループを作成し、さらにグループのメンバーを指定することが出来ます。

今回は「ローカルユーザーとグループ」を利用して、新規にグループを作成し、作成したグループのメンバーにドメインユーザーを追加してみます。
 
flex_000873

場所は「コンピューターの構成」-「基本設定」-「コントロールパネルの設定」-「ローカルユーザーとグループ」です。

flex_000874

右クリックして「新規作成」-「ローカルグループ」を選択します。

flex_000875

新しいローカルグループのプロパティが表示されました。

flex_000876
 
こちらでは新規にローカルグループを作成するだけでなく、既存のローカルグループを編集したりも出来ます。
今回は「作成」を選択します。
グループ名を入力したら、追加ボタンを押下して、グループに追加したいメンバーを選択します。

flex_000877

今回はグループのメンバーにドメインユーザーを追加します。

flex_000878

 新規のグループにドメインユーザーが追加されました。
OKボタンを押下して設定を完了します。

flex_000879
 
早速、GPOの適用されたクライアントコンピューターを見てみましょう。

flex_000624
 
test_local_groupが追加されています。

flex_000625

メンバーにドメインユーザーも追加されています。 

制限されたグループの機能を使用することで、グループに属するアカウントの制御を行なうことが出来ます。

flex_000859

場所は「コンピューターの構成」-「ポリシー」-「Windowsの設定」-「セキュリティの設定」-「制限されたグループ」です。

flex_000860
 
右クリックして「グループの追加」を選択します。

flex_000861

制御したいグループを入力します。

flex_000862
 
グループメンバーシップのプロパティ画面が開きます。
ここで「このグループのメンバー」もしくは「このグループの所属」にグループを設定します。

flex_000863

「このグループの所属」欄で「追加」ボタンをクリックして、グループを設定した場合、ここで入力したグループ(ここではBackup Operators)に先に入力したグループ(ここではtest-group1)が所属します。

flex_000864

「このグループの所属」欄にグループが追加されました。

flex_000621

Backup Operatorsにはtadashiというローカルグループが存在していたのに対して・・・

flex_000622

上記のGPOが適応されると、test-group1というグループも追加されました。

flex_000872
 
さらにグループを設定して

flex_000870
 
「このグループのメンバー」にグループを追加した場合、先に入力したグループ(ここではBackup Operators)のメンバーに、ここで入力したメンバー(ここではtest-group1)が追加されます。
それ以外にメンバーだったグループは削除されます。
(ただし、administratorsは残る)

flex_000623
 
グループのメンバーはこんな感じになりました。
追加したグループしか残っていません。 

flex_000840

「コンピューターの構成」-「ポリシー」-「Windowsの設定」-「ローカルポリシー」-「セキュリティオプション」ではセキュリティに関するポリシーを作成することが出来ます。
例えば、administratorのセキュリティに関するポリシーを作成することが出来ます。

 flex_000841

「Administratorアカウントの状態」では既定でAdministratorアカウントを無効にするか有効にするかを選択することが出来ます。
権限の強いユーザーを普段は無効にしておくことはセキュリティを高めるためには有用な手段です。

flex_000842
 
「Administratorアカウント名の変更」ではAdministratorのアカウント名を変更することが出来ます。
管理者のユーザー名を推測できないようにすることが出来ます。

flex_000615
 
上記2つのポリシーを設定した結果です。
administratorのユーザー名が変わり、無効になっていることが確認できました。

このページのトップヘ