- - PR -
GPOを使用したAD環境におけるログイン制限について
1
| 投稿者 | 投稿内容 | ||||
|---|---|---|---|---|---|
|
投稿日時: 2008-03-14 10:27
Active Directoryを勉強しているのですが、GPOを使用した制限を設定する際に
想定した動作をしない現象の解決方法がわからなかった為、投稿させていただきました。 作業環境とGPOで設定したい目的は以下のとおりです。 【作業環境】 ・サーバがWindows Server 2003 ・クライアントがWindows XP pro(SP2) 【目的】 ・営業部と経理部用のクライアント(ドメイン配下)があり、それぞれの部門用PCからは、それぞれの部門用に用意されたドメインアカウント以外からのローカルログオンを拒否させる。 現在、私の方で設定させていただいた内容は、以下のとおりです。 ・営業部用と経理部のOUをそれぞれ登録 ・上記OUの中に、ユーザアカウントとコンピュータアカウントを登録 ・また、上記ユーザは別のOUに格納されているそれぞれの部門用グループ(E-Users/K-Users)に所属(こちらのOUには特にGPOは設定しておりません)。 ・営業部用のOUに対して、グループポリシーを作成し、以下の設定を実施 →[コンピュータの構成]-[Windowsの設定]-[セキュリティの設定]-[ローカルポリシー]-[ユーザー権利の割り当て]-[ローカルログオンを拒否する]を開き、経理部用の部門グループ(K-Users)を登録 →上記と同じ要領で、経理部のOUにもGPOを適用 以上です。 結果としては、営業部用と経理部のOU内のPCから、どのドメインアカウントでもログインできてしまいます。 また、[ローカルログイン拒否]の設定で、部門グループではなく、直接ユーザアカウントを指定しても結果は同じでした。 他に見落としている設定項目があるのか、どなたかお気づきの方おられましたら、 ご教授いただけませんでしょうか。 よろしくお願いいたします。 [ メッセージ編集済み 編集者: 未記入 編集日時 2008-03-14 11:46 ] | ||||
|
投稿日時: 2008-03-14 13:09
コンピュータポリシーですので、ユーザに対して設定してもだめです。
コンピュータオブジェクトに対してポリシーを適用してみましょう。 | ||||
|
投稿日時: 2008-03-14 20:55
ピヨコ様、早々にご回答をいただきありがとうございます。
念の為上記内容についての手順を確認させて下さい。 やることは、 [OUを選択]-[プロパティ-[グループポリシータブ]-[セキュリティーをクリック]-[追加]-[ポリシーを適用したいコンピューターを選択]-[グループポリシーを適用にチェック]-[OK] 以上でよろしいでしょうか? 度々のご質問で大変申し訳ありませんがどうかお願い致します。 | ||||
|
投稿日時: 2008-03-16 03:09
ぴよこ様
何度も申し訳ありません。 一応、上記手順(であっているかどうかわからないまま)で再設定を試みたのですが、 どうしても思うような動作になりません。 おっしゃられている「コンピュータオブジェクトに対してポリシーを適用」 という根本的な解釈が間違っているのでしょうか? いろいろなサイトを探しているのですが、 対象のコンピュータが格納されているOUに対して、 コンピュータの構成>セキュリティの設定>ローカルポリシー>ユーザー権利の割り当て を開き、「ローカルログオンを拒否する」に対象グループもしくはユーザを登録する、 という手順に行き着いてしまいます。 なぜ、上記方法でローカルへのログイン制限が出来ないのか、 どうか知恵をいただけないでしょうか? どうかよろしくお願いいたします。 | ||||
|
投稿日時: 2008-03-17 09:18
ログオン拒否対象のコンピュータの
[ローカルセキュリティポリシー]-[ローカルでログオンを拒否する]に ポリシーで設定した拒否グループは設定されていますでしょうか? 設定されていない場合、やはりポリシー設定に問題がありそうです。 ログオン拒否対象のコンピュータオブジェクトを ポリシーを設定したOU下に移動してありますか? セキュリティタブでポリシー適用対象を指定しても 対象がそのOU下に無ければポリシーはかからなかったと思います。 コンピュータオブジェクト移動後は、OS再起動か、 gpupdateコマンドで、ポリシーを強制適用してください。 | ||||
|
投稿日時: 2008-03-17 11:53
・営業部用、経理部用コンピュータを格納するOUを作成 ・営業部用・経理部用コンピュータをそのOUに格納 ・OUに制限用GPO作成し、 ・営業部用と経理部のOUをそれぞれ登録 ・上記OUの中に、ユーザアカウントとコンピュータアカウントを登録 ・また、上記ユーザは別のOUに格納されているそれぞれの部門用グループ(E-Users/K-Users)に所属(こちらのOUには特にGPOは設定しておりません)。 ・営業部用のOUに対して、グループポリシーを作成し、下記設定を実施 コンピュータの構成>セキュリティの設定>ローカルポリシー>ユーザー権利の割り当て を開き、「ローカルログオンを許可する」に部門用グループのみを追加、あとは削除 (一応別途ローカルAdministrator等も入れておいた方が安全) これでいけると思います。 (拒否は例外を設定するときに使うもんです。許可しなきゃ拒否されます) [ メッセージ編集済み 編集者: Mattun 編集日時 2008-03-17 11:54 ] | ||||
|
投稿日時: 2008-03-17 12:01
あと1点。
対象クライアントにて、gpresultコマンドを実行して、 適用状況を確認してください。 gpresult /v /scope computer あたりで、そのコンピュータに、ログオン許可ユーザポリシーが 適用されているかどうかは判別できるかと思います。 (ユーザ権利のAllowInteractiveLogonRightあたり) | ||||
|
投稿日時: 2008-03-18 02:14
ぴよこ様、Mattun様
とても丁寧なアドバイス、誠にありがとうございます。 いただきましたアドバイスの内容と自分の手順とを比較しましたところ、 クライアント側の再起動が行われていなかったことが原因でした。 gpupdateコマンドは、サーバ側で実行してしまっていた為 (クライアント側は、その後ログオフのみ実施)、 いつまでたってもポリシー未適用のままとなってしまってました。 初歩的なミスでお騒がせして申し訳ありません。 ぴよこ様、 ログオン拒否対象のコンピュータでローカルポリシーを確認するという手順、 大変参考になりました。 今後の切り分け時に活用させていただきます。 Mattun様、 手順をわかりやすく精査していただき、感謝いたしております。 また、「ローカルログオンを”許可”する」という手順と考え方、 大変勉強になりました。 この度、助けていただき本当にありがとうございました。 また何か機会がございまいたら、よろしくお願いいたします。 | ||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。