- PR -

グループポリシーについて教えて下さい。

1
投稿者投稿内容
まべ
常連さん
会議室デビュー日: 2002/08/21
投稿数: 23
お住まい・勤務地: 麹町
投稿日時: 2004-03-01 18:33
お世話になります。
まべと申します、よろしくお願いします。
現在
サーバー:Windows2000Server
ユーザー:WIN95/98/2000/XP
この環境下でグループポリシーを使い、
ユーザー側にひとまずパスワードポリシーを適用させようと考えています。

Active Directory ユーザーとコンピュータで組織(OU)を作成し、
グループポリシーを作成すれば適用出来るかと考えて見たのですが
上手く行きませんでした。

グループ ポリシー管理コンソールで適用状態を確認した所
拒否された理由に"空"となってました。
調べてみたのですが空の意味が判りませんでした。
どなたか対応方法判る方いらっしゃいませんでしょうか。
よろしくお願いします。


あくてぃぶ
常連さん
会議室デビュー日: 2004/02/09
投稿数: 42
お住まい・勤務地: 神奈川県
投稿日時: 2004-03-02 09:34
お疲れ様です、あくてぃぶと申します。
1.レガシーOSについて
引用:
サーバー:Windows2000Server
ユーザー:WIN95/98/2000/XP

まず、Windows95/98及びNTは
グループポリシー適用外だと思います。
NT時代にもありました、システムポリシー(poledit.exe)を
利用する事によって、回避できるはずです。
(ただし、グループポリシーと、システムポリシーは
異なりますので、理解してから、使用して下さい。)

2.作成したOU内について
引用:
ユーザー側にひとまずパスワードポリシーを適用させようと考えています。
Active Directory ユーザーとコンピュータで組織(OU)を作成し、
グループポリシーを作成すれば適用出来るかと考えて見たのですが
上手く行きませんでした。

設定したいポリシーはアカウントポリシーかと
思いますので、作成した、OUに適用したい
コンピュータオブジェクトは存在しますか?


[ メッセージ編集済み 編集者: あくてぃぶ 編集日時 2004-03-02 09:35 ]
あくてぃぶ
常連さん
会議室デビュー日: 2004/02/09
投稿数: 42
お住まい・勤務地: 神奈川県
投稿日時: 2004-03-02 09:51
追記です。
3.ドメインのアカウントポリシーについて
引用:
ユーザー側にひとまずパスワードポリシーを適用させようと考えています。
Active Directory ユーザーとコンピュータで組織(OU)を作成し、
グループポリシーを作成すれば適用出来るかと考えて見たのですが
上手く行きませんでした。

ドメインユーザーのアカウントポリシー(パスワードポリシー)は
ドメインにのみ設定できます。
OUに設定した場合、ClientPCのローカルユーザーアカウント設定に
反映されます。

[ メッセージ編集済み 編集者: あくてぃぶ 編集日時 2004-03-02 14:23 ]
まべ
常連さん
会議室デビュー日: 2002/08/21
投稿数: 23
お住まい・勤務地: 麹町
投稿日時: 2004-03-02 12:32
あくてぃぶ返信有難う御座います。
返信頂いた内容確認すると私が行おうとしてる事が
無理なのかなぁと思えてきました。

今回行いたかった事は
一部ユーザーのパスワード制限です。

現在ドメインに参加しているユーザーには
ドメインポリシーで簡単なパスワード設定はしています。

一部ユーザーなのでOUを作成しそちらのポリシーで制限をかければ
適用出来ると思っておりました。
あくてぃぶさんから頂いた回答ですと
この作業では適用出来ないのようですね。

この様な一部ユーザーに制限を適用する場合、
どのようにすると今回の制限は可能のでしょうか。

ご回答頂けますでしょうか。
どうぞよろしくお願い致します。
なな
ぬし
会議室デビュー日: 2003/06/22
投稿数: 659
お住まい・勤務地: 愛知県
投稿日時: 2004-03-02 13:08
グループ・ポリシーにある、パスワードのポリシーを、特定ユーザーに適用したいようですが、
パスワードのポリシーは、「コンピュータの構成」に分類されているので、
(ユーザーではなく)コンピュータに適用されます。

具体的には、グループ・ポリシーをOUに設定して、そこにコンピュータ・アカウントCompAと
ユーザー・アカウントUserBがある場合、「コンピュータの構成」は、CompAに適用されますが、
UserBには適用されません。

余談ですが...
「ユーザーの構成」をコンピュータに対して適用することは、グループ・ポリシーの設定で可能です。


回答になっていませんが...参考になればと思います。
あくてぃぶ
常連さん
会議室デビュー日: 2004/02/09
投稿数: 42
お住まい・勤務地: 神奈川県
投稿日時: 2004-03-02 14:11
自分は「ドメイン=セキュリティの境界」と考えています。
したがって、同一ドメイン内で一部ユーザーの
アカウントポリシー変更はできないと思います。
どの様な理由か解りませんが、「ポリシー」ですので、
よく協議し、設定するのが早期に問題解決できると思います。
どうしても、異なるポリシーを設定したいのなら、別ドメインで
フォレストを組む等、提案してみて下さい。

追記:
セキュリティを緩くするユーザー数が少なく、
設定後、変更はまず無い場合、ポリシーを設定する前に、
ユーザーを新規作成、「短いパスワードを設定」
「パスワードを無期限にする」にチェックを入れて、「完了」で
そのユーザーだけ短いパスワードで、有効期限無しになります。
ただし、実運用で考えると、設定後短いパスワード変更は
できなくなりますし、対象ユーザーが発生した場合、
いちいちグループポリシーを設定しなおすのは、
管理コストが大きくなりますね。
まべ
常連さん
会議室デビュー日: 2002/08/21
投稿数: 23
お住まい・勤務地: 麹町
投稿日時: 2004-03-02 17:51
ななさん・あくてぃぶさん返答有難う御座いました。
やはり同一ドメインでは無理なようですね。

IISを使用してログインするユーザーのみパスワードに設定を強化しようと
考えていたのですが別な方法を考えます。

有難う御座いました。
1

スキルアップ/キャリアアップ(JOB@IT)