雑廉堂の雑記帳

グループポリシーの「制限されたグループ」

いつもグループポリシーのことを調べていて中途半端にしている事柄があります。以前からまとめようと思っていてそのままにしちゃっていました。

それが、表題の「制限されたグループ」です。

 

 

以前の記事(グループポリシーで特定のホストにログオンできるユーザを制限 | 雑廉堂の雑記帳)で、特定のユーザーにのみリモートデスクトップでのリモートアクセスができるように設定しましたが、いろいろな部分で細かい説明を端折っていました。

それが、この「制限されたグループ」です。

ここでは、ドメインユーザーアカウントに、ローカルコンピュータの管理権限を与える例を通して、「制限されたグループ」について考えてみたいと思います。

ゴール

グループポリシーオブジェクト GPO の作成

それではさっそくGPO の作成をします。

[`コンピューターの構成`] → [`Windowsの設定`] → [`セキュリティの設定`] → [`制限されたグループ`]

 

二通りのグループ追加方法

さて、このグループの追加ですが、この追加するグループの指定方法には2種類あります。

一つは、ローカルのグループ、この例では、Administratorsを指定してする方法です。

 

ローカルグループを指定してグループを追加

この場合、Administrators というローカルグループのメンバーシップに、ドメインユーザー testcase1 を加えるということになるのは自明の理だと思います。しかしここで注意点が。

もし仮に、この GPO が適用されたドメインメンバであるコンピュータに、localuser1 というローカルユーザーが存在していて、なおかつ Administrators のメンバーであった場合、localuser1Administrators のメンバーシップから削除されます。

まさに、この GPO で指定されたメンバーシップに書き換えられてしまいますので、注意を要します。

 

ドメイングループを指定してグループを追加

そしてもう一つの方法は、ローカルコンピューターの管理に専用のドメイングループ(ここでは、ComputerManagers とします)を作成し、そのドメイングループをローカルの Administrators のメンバーとして所属させてしまう方法です。testcase1ユーザーは予め ComputerManagers グループに所属させておきます。

なんだか、先程の最初のパターンと同じじゃないかと思うかもしれませんが実は違います。

プロパティを[OK]で閉じ、グループポリシー管理エディターを閉じます。

この GPO をドメインコンピュータに摘要させると、ローカルのAdministrators のメンバーに MYDOM\ComputerManagers が追加されていると思います。

また、もしもローカルの管理アカウントとして localuser1 が登録されているとするならば、そのユーザーも Administrators グループに所属したまま残っていると思います。

 

どのようにするのかは運用次第

ローカルの管理アカウントなどいらないという場合であれば、最初の方法でも良いでしょうし、そうでなければ後者だと思います。

前者の方法に対しては、グループのメンバーシップにはユーザーだけでなくドメインのグループを含めることもできるので、実質ローカル管理アカウントの必要性の有無でしょうか。

 

まとめ

グループポリシーは、柔軟に設定できる半面大変複雑です。

制限されたグループに関しても、わたしの限られたメモリ容量ではなかなか理解できませんでした。

ですが、セキュリティフィルターや、制限グループなど、色々細かく設定ができるもんだなと感心してしまいます。これをLinux単独でするとなると・・・、うーん、とうなってしまいますね。

モバイルバージョンを終了