グループポリシーって、便利なんですが、難しいですね?
今回は、セキュリティフィルタを利用してグループポリシーを適用するにあたって躓いたことの記録です。

単純に割り当てられないGPO

社内で、ある依頼がありました。
銀行系のサイトにアクセスするために、IEの信頼済みサイト1にその銀行系のWebサイトを追加してほしいとのこと。

グループポリシーの、[ユーザーの構成] → [ポリシー] → [管理用テンプレート] → [Windows用コンポーネント] → [Internet Explorer] → [インターネットコントロールパネル] → [セキュリティページ] → [サイトとゾーンの割当一覧]に信頼済みのサイトとして追加すればいいかな?

とは思っては見たものの、次のような問題があることに気づきました。

上記を適用したいユーザーは、複数のOUにまたがっている・・

と。

例えば、「経理部(OU)」や「営業部(OU)」等の組織単位の、部長グループに属するユーザにのみ、GPOを適用したい、ということがわかったわけです。

要するに、仮に次の例のように、GPO(銀行サイトアクセス用GPO)を作成して、ドメイン(例: mydomain.com)に直接リンクさせたとしたら、ドメインの全ユーザーやコンピュータに適用されてしまいます。

`-- mydomain.com
    |-- 銀行サイトアクセス用GPO
    |-- 営業部(OU)/
    |   |-- User1(部長グループ)
    |   |-- User2(一般ユーザーグループ)
    |   `-- User3(一般ユーザーグループ)
    |-- 総務部(OU)/
    |   |-- User11(部長グループ)
    |   |-- User12(一般ユーザーグループ)
    |           :  
    `-- 経理部(OU)/
        |-- User18(部長グループ)
        |-- User19(一般ユーザーグループ)
                :

このような場合、セキュリティフィルタ、というものがあるらしいのです。

セキュリティフィルタ

セキュリティフィルタは、「グループポリシーの管理」の左側のツリーで既存のGPOを選択するか、新たに作成したGPOを選択し、[スコープ]タブの下側、「セキュリティ フィルター処理」で[追加]で追加できます。

グループポリシーオブジェクト(GPO)に、特定のセキュリティグループでセキュリティフィルターをかけることで、まずそのセキュリティグループでフィルタした上、で該当するユーザーやコンピュータにポリシーを適用させる、ということができます。

例えば先程の例の場合、GPOをドメインにリンクさせて、なおかつその配下の「部長グループ」のみに適用させたい、という要望を叶えることが出来ます。

ドメインやOUにリンクさせることで十分な場合は問題ありませんが、適用したい項目が複数のOUにまたがっているような場合に有効です。
これは、かなり便利そうですね。

「さっすがMicrosoft」

と思ったのもつかの間、何故か適用されません。

セキュリティフィルタが適用されない謎

セキュリティグループを作成し、GPOを作成し、そのGPOにセキュリティフィルターをかけた上で、ドメインに直接リンクさせたのですが、適用されません。
念の為、GPRESULTコマンドで、

GPRESULT /F /S コンピュータ名 /USER ユーザ名 /H result.html

として、結果をHTMLに保存した上で内容を確認すると、一応適応されているグループポリシーの一覧には出てくるものの、肝心の適用された内容がどこにも出てこない。

再起動やら、GPUPDATE /forceコマンドやら試してみたものの状況は変わらず。
先に見ておけば良かったのかもしれませんが、「イベントビューワ」」で確認すると、

グループ ポリシーの処理に失敗しました。グループ ポリシー オブジェクト LDAP://CN=User,cn={SID..},cn=policies,cn=system,DC=mydomain,DC=com のレジストリに基づいたポリシー設定を適用できませんでした。このイベントが解決されるまで、グループ ポリシー設定は解決されません。エラーの原因となったファイル名およびパスの情報についてはイベントの詳細を参照してください。

というエラーが発生している模様(イベンtID 1096)。
また、その詳細の中には、

ErrorCode    5
ErrorDescription アクセスが拒否されました

と。

セキュリティフィルタを適用させる方法

もちろん、アクセスしようとしているユーザーは、間違いなくセキュリティフィルタにて適用させているセキュリティグループに属していいます。
また、サーバー側はSambaサーバーなので、sysvol以下にある、SIDで示されるフォルダにアクセスできるかどうかも確認済み。

結局なんやかんやと調べていると、次のような記事に遭遇。

用を訳していえば、

GPOの委任タブのグループとユーザーの欄に、Domain Computerを「読み取り」許可を与えて追加する

ということ。
これだけで、何の問題もなかったようにGPOが適用されるようになりました。

「さっすが、Microsoft、」

って思いましたね。

もちろん最後のは、皮肉ですよ。

更新履歴

2019.03.04

内容を一部加筆修正しました。


  1. コントロールパネルにある、[インターネットオプション] → [セキュリティタブ] → [信頼済みサイト]の、サイトにWebサイトを追加することです。 

0件のコメント

コメントを残す

メールアドレスが公開されることはありません。