いつもグループポリシーのことを調べていて中途半端にしている事柄があります。以前からまとめようと思っていてそのままにしちゃっていました。

それが、表題の「制限されたグループ」です。

 

 

以前の記事(グループポリシーで特定のホストにログオンできるユーザを制限 | 雑廉堂の雑記帳)で、特定のユーザーにのみリモートデスクトップでのリモートアクセスができるように設定しましたが、いろいろな部分で細かい説明を端折っていました。

それが、この「制限されたグループ」です。

ここでは、ドメインユーザーアカウントに、ローカルコンピュータの管理権限を与える例を通して、「制限されたグループ」について考えてみたいと思います。

ゴール

  • ドメイン名: MYDOM
  • ユーザー名: testcase1
  • testcase1MYDOM に所属するコンピュータを管理する権限(ローカルのAdministrators の権限)を持たせたい

グループポリシーオブジェクト GPO の作成

それではさっそくGPO の作成をします。

  • グループポリシーの管理 を開く。
  • ツリーの[グループポリシーオブジェクト] を右クリックして [新規]
  • 新しいGPO が開くので [名前] に適当な名前(ここでは、computer_manager とします)を付けます。
  • ツリーに computer_manager というGPOができているので、それを右クリックし、[編集] します。
  • グループポリシー管理エディター の左側のツリーを次のように辿ります。
[`コンピューターの構成`] → [`Windowsの設定`] → [`セキュリティの設定`] → [`制限されたグループ`]

 

二通りのグループ追加方法

さて、このグループの追加ですが、この追加するグループの指定方法には2種類あります。

一つは、ローカルのグループ、この例では、Administratorsを指定してする方法です。

 

ローカルグループを指定してグループを追加

  • 右側のペインのなにもないところを右クリックして [グループの追加] をクリックします。
  • グループ追加」ダイアログで、[グループ]に、 Administrators と入力して [OK] をクリック
  • [Administratorsのメンバーシップの構成]のうち、[このグループのメンバー] に testcase1 ユーザーを追加します。
  • [OK] でプロパティを閉じます。

この場合、Administrators というローカルグループのメンバーシップに、ドメインユーザー testcase1 を加えるということになるのは自明の理だと思います。しかしここで注意点が。

もし仮に、この GPO が適用されたドメインメンバであるコンピュータに、localuser1 というローカルユーザーが存在していて、なおかつ Administrators のメンバーであった場合、localuser1Administrators のメンバーシップから削除されます。

まさに、この GPO で指定されたメンバーシップに書き換えられてしまいますので、注意を要します。

 

ドメイングループを指定してグループを追加

そしてもう一つの方法は、ローカルコンピューターの管理に専用のドメイングループ(ここでは、ComputerManagers とします)を作成し、そのドメイングループをローカルの Administrators のメンバーとして所属させてしまう方法です。testcase1ユーザーは予め ComputerManagers グループに所属させておきます。

なんだか、先程の最初のパターンと同じじゃないかと思うかもしれませんが実は違います。

  • 右側のペインのなにもないところを右クリックして [グループの追加] をクリックします。
  • グループ追加」ダイアログで、[グループ]に、 MYDOM\ComputerManagers と入力して [OK] をクリック
  • [MYDOM\ComputerManagers のメンバーシップの構成] のうち、[このグループの所属] にAdministrators を追加。

プロパティを[OK]で閉じ、グループポリシー管理エディターを閉じます。

この GPO をドメインコンピュータに摘要させると、ローカルのAdministrators のメンバーに MYDOM\ComputerManagers が追加されていると思います。

また、もしもローカルの管理アカウントとして localuser1 が登録されているとするならば、そのユーザーも Administrators グループに所属したまま残っていると思います。

 

どのようにするのかは運用次第

ローカルの管理アカウントなどいらないという場合であれば、最初の方法でも良いでしょうし、そうでなければ後者だと思います。

前者の方法に対しては、グループのメンバーシップにはユーザーだけでなくドメインのグループを含めることもできるので、実質ローカル管理アカウントの必要性の有無でしょうか。

 

まとめ

グループポリシーは、柔軟に設定できる半面大変複雑です。

制限されたグループに関しても、わたしの限られたメモリ容量ではなかなか理解できませんでした。

ですが、セキュリティフィルターや、制限グループなど、色々細かく設定ができるもんだなと感心してしまいます。これをLinux単独でするとなると・・・、うーん、とうなってしまいますね。


0件のコメント

コメントを残す

メールアドレスが公開されることはありません。