- - PR -
ActiveDirectoryのGPO影響範囲について
1
| 投稿者 | 投稿内容 | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2005-09-29 17:55
いつもお世話になっております。
ActiveDirectoryのGPO影響範囲について質問がございます。 現在、社内にActiveDirectoryの導入を検討しております。 テスト用としてWindowsServer2003を一台、WindowsXPを 一台のみの小さなLANを構築しました。 それぞれ下記構成になっております。 ・WindowsServer2003 EE(sp1) マシン名は「srv」 ActiveDirectory・DNSインストール ドメイン「DM」を作成 DMに組織単位「Office」を作成 Office内にグループ「Grp」を作成 ・WindowsXP Pro(sp2) マシン名は「cl」 srvにて「ActiveDirectoryユーザとコンピュータ」コン ソールを使用して、規定の「Users」フォルダの中に 「usr-0」というユーザを作成し、Grpのメンバとして追 加しました。 clでDMへの参加を行いました(「ActiveDirectoryユーザ とコンピュータ」コンソールの規定の「Computers」フォ ルダの中に「cl」が存在している状態)。 上記状態で、Officeに新規GPOをリンクさせました。 このGPOでは下記設定のみを行っております。 「ユーザの構成」→「管理用テンプレート」→「コント ロールパネル」→「画面」の「[デスクトップ]タブを非 表示にする」を有効。 ここまで設定を終えclにusr-0でログインし、「画面のプ ロパティ」ダイアログを表示させてみたのですが、「デ スクトップ」タブが残ったままでした。 そこで、Office直下に「usr-1」というユーザを新規に作 成し、clにusr-1でログインしてみたところ「デスクトッ プ」タブは消えておりました。 OUのGPOは、そのOUに直接存在しているオブジェクトにし か影響を及ぼさないものなのでしょうか? できれば社員やPCはグループにまとめてしまい、そのグルー プのみをOUに追加するという手段をとりたいと考えている のですが。 もしかしてOUの使い方そのものを勘違いしておりますでしょ うか? もしくは、グループ内オブジェクトにもGPOを反映させる方 法等ございましたらご教授いただけますでしょうか。 よろしくお願い致します。 (長文失礼しました) | ||||||||||||
|
投稿日時: 2005-09-29 18:23
GPOの適用範囲ですが、基本的にそのOUに属しているユーザーおよびPCのみ
となります。 グループ ポリシー オブジェクト (GPO) は、通常その GPO がリンクされている組織単位 (OU) のメンバ/コンピュータにのみ適用されます。 ただ、GPO周りの設定を変更する事で可能になります。 下記の情報を参照してください。 [HOW TO] グループ ポリシーを使用してソフトウェアを特定のグループに割り当てる方法 http://support.microsoft.com/default.aspx?scid=kb;JA;JP302430 OUと異なったグループ単位にポリシーを設定したい http://www.monyo.com/technical/windows/12.html Googoleでも、[セキュリティグループ GPO]などで検索すれば上記の情報には行き当たりますので、ご参考まで [ メッセージ編集済み 編集者: dellgate 編集日時 2005-09-29 18:24 ] | ||||||||||||
|
投稿日時: 2005-09-29 18:26
本番構成の規模が分からないけど、勿体ない気がします<EnterpriseEdition ドメインコントローラ(DC)の場合、1台の可用性やスケーラビリティより、 台数でカバーする前提で考えた方が、耐障害性に対するコストパフォーマンスが 良いと思います。 # DCにいろんなもの入れてEEじゃないと、な状況作るのも微妙・・・
はい。 # 正確にはそのOUかさらに下層のOU、とかです。
少なくとも書かれている方法では実現できません。 GPOはOUにも割り当てられますが、適用される対象はあくまでもユーザかコンピュータです。 # まあ、出来てしまったら、ユーザとグループどちらの構成が反映されるのかとか、 # 複数のグループに属しているユーザ、とか考えてみたら、 # そんなことができたらどれだけ管理が複雑になることやら。 今回のケースの場合、以下のような方法で実現可能です。 ・新規GPOを、適用したいグループのユーザすべてが含まれるOUまたはドメインにリンクする。 (さらに上位のOU・ドメインでもOK) (そのリンク先に他のユーザ/コンピュータがいても問題なし) ・新規GPOのプロパティを開き、セキュリティタブで、 ・グループ「Grp」へのアクセス権を追加し、「グループポリシーの適用」にチェック ・他のグループへのアクセス権から、「グループポリシーの適用」チェックを外す 上記だと、このGPO適用のためにOU準備、などは不要です。 | ||||||||||||
|
投稿日時: 2005-09-29 19:06
大切なことを言い忘れた。
実現可能だけど、最適な方法かどうかは状況次第です。 少なくとも直感的に適用先が判別しやすい方法ではありませんし。 OUで分けれる部分はOUで、分けきれない部分はセキュリティ設定やWMIフィルタで、 みたいな使い分けをするのが良いとは思います。 やはりGPOはOU前提で使うもんだと思ってたりします。 GPMCの画面みても、適用先全体を把握できる単位って、 サイト・ドメイン・OUであり、自由にいじれるのってOUだけですよね。 これがセキュリティ設定やWMIフィルタで実現しちゃうと、 各GPOを覗いたり、ポリシーの結果セット確認したりしないと把握しきれない。 で、ついでにOUの話。 管理する単位や要求する制限・権限・設定内容ごとにOUを作ってメンテしていくのが OUの管理自体は一番楽だとは思います。 全社管理者、部門管理者、開発者、営業、事務、みたいな。変動少ないですし。 ハマるのが部署とか拠点単位でのOU。 結局部署内でも役割が違うからOUじゃどうにもならなくなったり、 下位OU作成で実現できたはいいがGPOのリンク先設定が混沌としたり。 大規模な部門変更でもあったらいっせいにメンテしなきゃならなくなったり。 拠点に関してはサイトでカバーできるケースが多かったりするんじゃないかと。 # と思ってるんですが、OU設計に関する資料ってどこで見たんだっけかな・・・ | ||||||||||||
|
投稿日時: 2005-09-29 21:44
dellgate様、ご返答いただきましてありがとうございます。
>ただ、GPO周りの設定を変更する事で可能になります。 >下記の情報を参照してください。 情報のご提供、ありがとうございました。 有効に活用させていただきます。 >Googoleでも、[セキュリティグループ GPO]などで検索すれば上 >記の情報には行き当たりますので、ご参考まで これは失礼しました。 普段は必ず、調査→分からない事があれば聞く、という 方法を取っているのですが、今回はテスト環境構築だけ でくたばってしまいました。。。(VPCで環境構築した のですが色々ありまして) ご指摘の通り、「GPO」と「グループ」でググッたところ 先頭にそれらしきページが・・・。 顔から火が出る思いでした。。。 (後悔先に立たず。ああ、ハズカシぃ〜) | ||||||||||||
|
投稿日時: 2005-09-30 16:00
dellgateです。
@TKさんの求めているよう内容でしたら、お役に立てうれしいです。 忙しかったり、気が回らなかったりする場合も確かにありますね。 そういうときは、仕方が無いかと。普段は、手順を踏んでご質問さ れているようですので・・・ ただ、Mattunさんの書き込みにもありますが方法として可能ですが それを管理していくなどの面を考えると、これが良い方法だ・・・ ともいえないと思います。その辺も考慮し、十分なテストを行って みてください。 Mattunさんへ この辺なんかいかがでしょうか。 [組織単位の構成の設計および実装] http://www.microsoft.com/japan/technet/prodtechnol/windows2000serv/proddocs/res kit/scenarios/ou_design_implement_ou_structure.mspx もう少し良いところもあったと思うのですが、思い出せない・・・ P.S URLが長すぎるので改行しました。 [ メッセージ編集済み 編集者: dellgate 編集日時 2005-09-30 16:01 ] | ||||||||||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。