- - PR -
グループポリシーを利用したローカルログオン制限について
| 投稿者 | 投稿内容 |
|---|---|
|
投稿日時: 2007-12-20 14:39
※申し訳ありません「会議室」に種類があることを知らず、誤った会議室に
スレッドを立ててしまったので、正しい会議室で投稿しなおしました。 こんにちは。この度は「ActiveDirectory環境でのドメインコントローラへの ローカルログオン制限」の設定の行い方について質問したいと思います。 どうぞよろしくお願い致します。 早速ですが、現在Windows Server 2003のみでActiveDirectoryを用いた ドメインネットワークを使用しております。 まず、ドメインは単一ドメインで仮にtest.localとします。 そして、 東京支社(Tokyoサイト)にドメインコントローラ 「 DC-TOKYO 」 大阪支社(Osakaサイト)にドメインコントローラ 「 DC-OSAKA 」 があるとします。 そして今行いたいことは、 1.Osakaサイトの管理者は自サイト内のDCにはローカルログオンできるが、 TokyoサイトのDCにローカルログオンすることはできない。 2.Tokyoサイトの管理者は自サイト内のDCにはローカルログオンできるが、 OsakaサイトのDCにローカルログオンすることはできない。 (ちなみに管理者はそれぞれOsakaAdmins・TokyoAdminsというドメインローカルグループに 属しているとします。) ということです。ただ条件として、 1.「Active Directoryユーザとコンピュータ」にてOU「Domain Controllers」内の ドメインコントローラのComputerオブジェクトをさらに子OUに分けたり移動したりしないこと。 2.「Default Domain Controller Policy」自体の変更は行わない(同階層に新規ポリシーを作る のは構わない)。また「Default Domain Policy」も全て未定義にしておくこと。 があります。 以上を踏まえて、私が行ったことは… 1.「ActiveDirectoryサイトとサービス」にてOsakaサイトにTokyoAdminsグループの ローカルログオンを拒否するポリシーを適用しました。 (場所は「コンピュータの構成」「Windowsの設定」「セキュリティの設定」「ローカルポリシー」 「ユーザ権利の割り当て」「ローカルでログオンを拒否する」です) また、TokyoサイトにもOsakaAdminsに対して同様のポリシーを適用しました。 「ローカルログオンを許可する」は下へ影響を与えないように未定義のままとします。 そしてサイトに適用するポリシーは「上書き禁止」としました。 2.OU「Domain Controllers」に新規ポリシーを作成し、ここではTokyoAdmins・OsakaAdmins ともにローカルログオンを許可するポリシーとしました。 (ちなみに優先度的にはDefault Domain Controller Policyの前に適用されるようにしました。) 3.この時「DC-TOKYO」にローカルログオンできるセキュリティグループがどうなっている かを考えました。私の知識が正しければ、本来、より優先度の高い『OU「Domain Controllers」に適用した 新規ポリシー』が「サイトのポリシー」に対する矛盾点を上書きするはずですが、「サイトのポリシー」が 「上書き禁止」になっているため逆に「サイトのポリシー」が優先される、かと思います。 そのため「OsakaAdmins」はローカルログオンできず、矛盾点には関わらない「TokyoAdmins」は ローカルログオンが可能になる… となります。 実際、設定後私の考え通りに、あるサイトの管理者は他サイトのDCにローカルログオンできず、自サイトの DCにのみローカルログオンできるという状況が続いていました。 しかしあるとき以上の設定を一旦消去し、再構成したところ全ての管理者が他サイトはおろか 自サイトのDCに対してもローカルログオンの権利を得られなくなってしまいました。 (消去と再構成は「ポリシーの削除」「ユーザをグループから脱退」「グループの削除」 「新規グループの作成」「新規グループへユーザを追加」「ポリシーの設定」という手順で行いました。) おそらく、私の考え方に間違いがあったのかも知れませんが、何が原因なのかが 一向に分からない状態です。 経験者の方、有識者の方々のご教示を賜りたく質問させていただきました。 よろしくお願いいたします。 |
|
投稿日時: 2007-12-20 15:13
とりあえず、設定がおかしくなった管理者でドメインにログインして
「gpresult /z」でどんなグループポリシーが適用されているか 調べてみてはどうでしょうか? |
|
投稿日時: 2007-12-20 15:40
私もADの管理の経験がそんなに無いので、的外れかもしれませんが
ADの管理の観点から考えると、DCへのローカルログオンを禁止する のはあまり意味がないのではないでしょうか? (DCがファイルサーバ兼用しているであれば、話は別ですが) 東京支社と大阪支社のOUを作成し、それぞれのOUに支社に属している オブジェクト(DCも含めて)を配置した上で、OUの制御の委任を 支社ごとの管理者に対して行うべきではないでしょうか |
|
投稿日時: 2007-12-20 15:56
ゆうじゅん 様
早速のご返答ありがとうございます。 おっしゃられた通り、試しにTokyoサイトのDCに、ドメインのAdministratorで ログオンしてgpresultコマンドを実行してみました。 しかしながら、やはり私自身が作成した「サイトにリンクしたポリシー」、 「OU[Domain Controllers]にリンクした新規ポリシー」そして「Default Domain Controller Polisy」以外に「Interactive Logon Right」または 「Interactive Logon Right」は構成されておりませんでした。 質問には書ききれなかったのですが、私のイメージではドメインコントローラに 到達するポリシーは(Tokyoサイトを例に取ると) 1.「サイトにリンクしたポリシー」が読み込まれる。 →[OsakaAdminsがローカルログオンを拒否される(上書き禁止)] 2.「OU[Domain Controllers]にリンクした新規ポリシー」が読み込まれる。 →[OsakaAdminsとTokyoAdminsのローカルログオンが許可される] 3.「1.」と「2.」のポリシーが統合される。 OsakaAdminsに関わる設定が矛盾しているので優先度の高い方で上書きされる。 ここでは一方が上書き禁止になっているので… →[OsakaAdminsは拒否されるがTokyoAdminsは許可される] 4.「3.」の結果と「Default Domain Controller Policy」が統合される。 矛盾点は存在しないので「Default Domain Controller Policy」内の情報は 変更されない。(未定義の場所は上書き禁止設定されていてもスルーされるので影響はない) →結果、DC-TOKYOにはOsakaAdmins内のアカウントではローカルログオンできず、 TokyoAdmins内のアカウントではローカルログオンできる。 …と、なるのだと考えていましたが、これが間違いなのでしょうか? (間違いだとすると、なぜ以前はちゃんと制御できていたのかが 逆に気になるのですが…) なにあともあれ、ご返答ありがとうございました。 [ メッセージ編集済み 編集者: t x t 編集日時 2007-12-20 16:18 ] [ メッセージ編集済み 編集者: t x t 編集日時 2007-12-20 16:19 ] [ メッセージ編集済み 編集者: t x t 編集日時 2007-12-20 16:20 ] |
|
投稿日時: 2007-12-20 16:09
ゆうじゅん 様
二度目のご返答に気付かず投稿してしまいました。 申し訳ありません。 まさにおっしゃられる通りで、実はDC(DCのComputerオブジェクト)を 分けて管理する場合も検証はしていました。 (もっと言うとDC以外は各支社ごとのOUに分けられ、委任も行われる予定なのですが…) 結果、動作的にもADの構造的にもすっきりと安定した状況だったのですが、 「OU[Domain Controllers]の中のオブジェクトは絶対にいじってはイカン」 というのが条件になってしまっているのです… それでわざとポリシーのコンフリクトを利用した方法を考えているのですが、 やはり推奨できない方法なのでしょうか。 Microsoft的にどうなのかもわからない状況です… [ メッセージ編集済み 編集者: t x t 編集日時 2007-12-20 16:13 ] |
|
投稿日時: 2007-12-20 16:34
gpupdateを実行しても、グループポリシーの適用状況は変わらないでしょうか
あと、以下の手順でうまくいかないでしょうか? 1)「Domain Controllers」に以下のグループポリシーを追加 ・OsakaAdminsローカルログオン拒否 ・TokyoAdminsローカルログオン拒否 2)1)で追加したグループポリシーのプロパティを開き、「セキュリティ」を選択 3)以下のようにセキュリティ設定を行う ・OsakaAdminsローカルログオン拒否 → DC-OSAKAに対して、「グループポリシー適用」権限の「拒否」にチェック ・TokyoAdminsローカルログオン拒否 → DC-TOKYOに対して、「グループポリシー適用」権限の「拒否」にチェック [ メッセージ編集済み 編集者: ゆうじゅん 編集日時 2007-12-20 16:39 ] |
|
投稿日時: 2007-12-20 17:12
ゆうじゅん 様
お世話になっております。 早速ですが、セキュリティで(ポリシーでログオン拒否した)自サイトへの適用を 取り消す、という新アイデアに喜び勇んで試してみたものの、 結果的には駄目のようです。 「このシステムのローカル ポリシーは、このユーザが対話的にログオンすることを許可していません。」 のおなじみのメッセージが出てしまいました。 念のためgpupdate /forceはもちろん、ADサイトとサービスから 「今すぐレプリケート」→「ポリシーのリビジョンの確認」、そして (あまりしたくはないのですが)サーバの再起動も随時行っているのですが、 上手くはいかないようです。 朝来てみたら上手くいった、と言う経験が何度かあるのですが 今回はそうはいかなさそうです。 |
|
投稿日時: 2007-12-20 17:17
そもそも、DC個々に、管理可能なAdminを分けること自体、
あんまり意味がないと思うのですが。 DomainAdminsはドメインの管理者であり、 DC1台操作できればドメインの管理オペレーションはすべて行えます。 DCはサーバというよりドメインそのものです。 要するにその要件自体がおかしく見えます。 ましてやローカルログオンのみ拒否というのも・・・ 管理オペレーションでローカルログオン必須なものなんてありましたっけ。 実際の挙動については、細かい検証してないので曖昧ではありますが、 強制ってコンテナの親子関係に対して有効だと思ったのですが、 DomainControllersコンテナとサイトって親子でしたっけ。 |
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。