- PR -

ActiveDirectoryのGPOについて

1
投稿者投稿内容
masa
会議室デビュー日: 2006/03/16
投稿数: 6
投稿日時: 2006-03-16 19:17
こんにちは、
社内でWindows2003Serverを使用し、ActiveDirectoryを導入しようと考えております。

ADを構築し、ユーザを作成し、クライアントPCをドメインに参加させるまでは上手くいきました。
そしてそのユーザに対して、「コントロールパネルへのアクセスの禁止」のグループポリシーを適用したいと思います。

そこでまず、ActiveDirectoryユーザとコンピュータから、「TestOU」というOUを作成しそこにユーザを作成しました。
そしてグループポリシーの管理を開き、「TestOU」の下に「TestGPO」というGPOを作成し、編集のユーザ構成から
「コントロールパネルへのアクセスの禁止」を有効にしました。

そしてTestGPOの、セキュリティフィルタ処理で作成したユーザを追加して、クライアントPCを再起動し、再度ログインしてみたのですが、うまく変更が適用されません。


結論を言うと、ユーザに「コントロールパネルへのアクセスの禁止」の制限をかけたいのですが上記の手順以外でなにか設定しないといけない事がありますでしょうか?

どなたかご存知の方がいらっしゃいましたらアドバイスいただけると幸いです。
よろしくお願いいたします。
minminnana
大ベテラン
会議室デビュー日: 2004/02/05
投稿数: 246
お住まい・勤務地: 盛岡
投稿日時: 2006-03-16 20:33
クライアントのDNS設定には2003ServerのDNSが指定されていますか?
masa
会議室デビュー日: 2006/03/16
投稿数: 6
投稿日時: 2006-03-17 09:28
minminnanaさん、ご返信ありがとうございます。

DNS自体をインストールしていなかったので、早速インストールし、クライアントに設定したところ、うまくいきました。

ActiveDirectoryを使用するにはDNSが必須だということが改めて分かりました。

そこで、もう一つだけご質問させてください。
現在社内にDNSを構築しましたが、これにより不正なアクセスを受ける可能性もあるのでしょうか?

ADを構築した際に、ここら辺が不明だったために、とりあえずインストールをしなかった次第です。

お手数ですが、アドバイスいただけると幸いです。
宜しくお願いいたします。



kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2006-03-17 18:41
引用:

未記入さんの書き込み (2006-03-17 09:28) より:

ActiveDirectoryを使用するにはDNSが必須だということが改めて分かりました。

必須ですけど,
引用:

ADを構築した際に、ここら辺が不明だったために、とりあえずインストールをしなかった次第です。

入れていなかったのですか?
不明といわず,まず調べることをお奨めします.
※むしろそれで動かしていたということのほうがちょっと興味あります.
※global policy 以外に異常は無かったのでしょうか?
引用:

そこで、もう一つだけご質問させてください。
現在社内にDNSを構築しましたが、これにより不正なアクセスを受ける可能性もあるのでしょうか?

具体的にどういった意味で「不正」ですか?
DNS は基本的に名前解決の仕組みなので,
不正であれなんであれ,名前解決の問い合わせには答えると思います.
それをも「許可されていないので不正」ということであれば,
firewall の機能で通信を抑制するなどの措置が必要でしょう.
Dynamic DNS の機能で「不正な接続」というのはありえますので,
管理する zone の動的更新を「セキュリティで保護された更新(でしたっけ?)」
だけに制限すると,闇雲に登録してくることを防げます.

あまり「不正な接続」という言葉に踊らされないほうが良いと思います.

以上,ご参考までに.
ちゃっぴ
ぬし
会議室デビュー日: 2004/12/10
投稿数: 873
投稿日時: 2006-03-18 03:08
gpupdate /force は実行しました?
masa
会議室デビュー日: 2006/03/16
投稿数: 6
投稿日時: 2006-03-22 11:41
kazさん、ちゃっぴさん、お礼が遅れました。
ご返信ありがとうございます。

DNSの仕組みを理解するのがむづかしく苦慮しております。
私の中ではDNSとは、上位のDNSに問い合わせていくとしか理解しておらず、

その際になんのセキュリティ対策もせず、ただDNSを構築し上位サーバへの問い合わせを
行ってよいのか?
もしくは外部から何かしらの不正な行為の温床にならないのかというような心配がありました。

gpupdate /force は実行し、正常にグループポリシーを更新できました。

皆様、アドバイス本当にありがとうございました。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2006-03-22 13:27
こんにちわ.

既に解決済みですが...
引用:

未記入さんの書き込み (2006-03-22 11:41) より:

DNSの仕組みを理解するのがむづかしく苦慮しております。
私の中ではDNSとは、上位のDNSに問い合わせていくとしか理解しておらず、

上位の DNS と役割は同じで,そのほかの option の機能として,
上位への forwarding があります.
DNS そのものはあくまでも「保持する database を公開する」だけだと思います.
引用:

その際になんのセキュリティ対策もせず、ただDNSを構築し上位サーバへの問い合わせを
行ってよいのか?
もしくは外部から何かしらの不正な行為の温床にならないのかというような心配がありました。

まず「DNS はどのように動いているのか?」を学ばれることをお奨めします.
不正な通信が「全く無い」とは断言できませんが,
「よくわからないから不正を恐れる」のではキリが無いと思います.
少なくとも「上位へ問い合わせる」だけなら外部からの不正行為は
困難だと思いますよ.

動的更新の部分を考慮する以外に,
外部の DNS を参照する必要が無いように
環境を構成するなどの方法で secure にすることも可能です.
masa
会議室デビュー日: 2006/03/16
投稿数: 6
投稿日時: 2006-03-22 15:31
kazさん、ご返信ありがとうございます。

なにぶんDNSを構築したのが初めてで、必要以上に身構えてしまっていたようで…

まずはいただいたアドバイスの内容を理解し、設定してみることから始めてみます。

アドバイスありがとうございました。
1

スキルアップ/キャリアアップ(JOB@IT)