いつもグループポリシーのことを調べていて中途半端にしている事柄があります。以前からまとめようと思っていてそのままにしちゃっていました。
それが、表題の「制限されたグループ」です。
以前の記事(グループポリシーで特定のホストにログオンできるユーザを制限 | 雑廉堂の雑記帳)で、特定のユーザーにのみリモートデスクトップでのリモートアクセスができるように設定しましたが、いろいろな部分で細かい説明を端折っていました。
それが、この「制限されたグループ」です。
ここでは、ドメインユーザーアカウントに、ローカルコンピュータの管理権限を与える例を通して、「制限されたグループ」について考えてみたいと思います。
ゴール
- ドメイン名: MYDOM
- ユーザー名: testcase1
- testcase1 に MYDOM に所属するコンピュータを管理する権限(ローカルのAdministrators の権限)を持たせたい
グループポリシーオブジェクト GPO の作成
それではさっそくGPO の作成をします。
- 「
グループポリシーの管理
」 を開く。 - ツリーの[
グループポリシーオブジェクト
] を右クリックして [新規
] - 「
新しいGPO
」 が開くので [名前
] に適当な名前(ここでは、computer_manager とします)を付けます。 - ツリーに computer_manager というGPOができているので、それを右クリックし、[
編集
] します。 - 「
グループポリシー管理エディター
」 の左側のツリーを次のように辿ります。
[`コンピューターの構成`] → [`Windowsの設定`] → [`セキュリティの設定`] → [`制限されたグループ`] |
二通りのグループ追加方法
さて、このグループの追加ですが、この追加するグループの指定方法には2種類あります。
一つは、ローカルのグループ、この例では、Administratorsを指定してする方法です。
ローカルグループを指定してグループを追加
- 右側のペインのなにもないところを右クリックして [
グループの追加
] をクリックします。 - 「
グループ追加
」ダイアログで、[グループ
]に、 Administrators と入力して [OK
] をクリック - [
Administratorsのメンバーシップの構成
]のうち、[このグループのメンバー
] に testcase1 ユーザーを追加します。 - [
OK
] でプロパティを閉じます。
この場合、Administrators というローカルグループのメンバーシップに、ドメインユーザー testcase1 を加えるということになるのは自明の理だと思います。しかしここで注意点が。
もし仮に、この GPO が適用されたドメインメンバであるコンピュータに、localuser1 というローカルユーザーが存在していて、なおかつ Administrators のメンバーであった場合、localuser1 は Administrators のメンバーシップから削除されます。
まさに、この GPO で指定されたメンバーシップに書き換えられてしまいますので、注意を要します。
ドメイングループを指定してグループを追加
そしてもう一つの方法は、ローカルコンピューターの管理に専用のドメイングループ(ここでは、ComputerManagers とします)を作成し、そのドメイングループをローカルの Administrators のメンバーとして所属させてしまう方法です。testcase1ユーザーは予め ComputerManagers グループに所属させておきます。
なんだか、先程の最初のパターンと同じじゃないかと思うかもしれませんが実は違います。
- 右側のペインのなにもないところを右クリックして [
グループの追加
] をクリックします。 - 「
グループ追加
」ダイアログで、[グループ
]に、 MYDOM\ComputerManagers と入力して [OK
] をクリック - [
MYDOM\ComputerManagers のメンバーシップの構成
] のうち、[このグループの所属
] にAdministrators を追加。
プロパティを[OK
]で閉じ、グループポリシー管理エディターを閉じます。
この GPO をドメインコンピュータに摘要させると、ローカルのAdministrators のメンバーに MYDOM\ComputerManagers が追加されていると思います。
また、もしもローカルの管理アカウントとして localuser1 が登録されているとするならば、そのユーザーも Administrators グループに所属したまま残っていると思います。
どのようにするのかは運用次第
ローカルの管理アカウントなどいらないという場合であれば、最初の方法でも良いでしょうし、そうでなければ後者だと思います。
前者の方法に対しては、グループのメンバーシップにはユーザーだけでなくドメインのグループを含めることもできるので、実質ローカル管理アカウントの必要性の有無でしょうか。
まとめ
グループポリシーは、柔軟に設定できる半面大変複雑です。
制限されたグループに関しても、わたしの限られたメモリ容量ではなかなか理解できませんでした。
ですが、セキュリティフィルターや、制限グループなど、色々細かく設定ができるもんだなと感心してしまいます。これをLinux単独でするとなると・・・、うーん、とうなってしまいますね。
0件のコメント