【Active Directory】GPOを管理するための権限

GPOを管理するには権限が必要で、GPOの作成、編集、リンクなどの管理操作を行うためには、権限を持ったグループのメンバーであるか、個別に権限を与える必要がある。
サイトへリンクを行う場合、Enterprise AdminsかフォルストルートドメインのDomain Adminsメンバーである必要がある。

操作 グループ 個別の権限を付与する場所
作成 Domain Admins
Enterprise Admins
Group Policy Create Owners
「グループポリシーオブジェクト」の「委任」タブ
編集 Domain Admins
Enterprise Admins
GPOの選択時の「委任」タブ
リンク Domain Admins
Enterprise Admins
ドメイン、OU、サイト選択時の「委任」タブ

・「グループポリシーオブジェクト」の「委任」タブ

・GPOの洗濯時の「委任」タブ

・ドメイン、OU、サイト選択時の「委任」タブ

【グループポリシー】ポイントアンドプリントの制限の動作

一般ユーザ(管理者権限を持っていない)にて、プリンタを追加させることを許可させるためには、「ポイントアンドプリントの制限」に対して、なにがしかの設定をする必要があるよ。
で、ネットで出てくるプリンタ業者の推奨設定だと、「無効」にしていたり、「有効」にしてセキュリティ設定を弱めておいたり、MSから脆弱性パッチが公開されていたり・・・何が何だかわからなかった。だから整理してみたよ。

・パターンA

・パターンB

・パターンC

20種類くらいのプリンタで試してみた結果

パターンA パターンB パターンC
20/20成功 19/20成功 不明
「ポリシー設定が原因で、この印刷キューに接続できません」と表示され、インストールできないものがある 管理者権限入力が必須なものがある

あと、プリンタ追加するときの方法はADでの検索で試しました。
※これがまたよく分からなくて、共有されているプリンタをインストールするときと、ADでディレクトリ表示されているプリンタをインストールするときとで挙動が変わっちゃうよ

なので、設定は「有効」にして、セキュリティ設定を弱くしておくのが一番いいっぽいね。
設定的には、「無効」にすれば、全動作管理者権限不要で行けるかと思ったけどそうでもなくて、「有効」にしてサーバ名を入れれば、ホワイトリスト的に許可するものかとも思ったけど、なんか違うみたい。
よくわからない・・・(ーー)

【グループポリシー】ループバック処理モードについて

ループバック処理について自分なりにまとめてみたよ

ループバックを使うことにより、ユーザーの構成をコンピュータに適用することができる。
グループポリシーにはコンピュータの構成、ユーザの構成の2通りの構成パターンがあるけど、通常コンピュータ→ユーザの順番で適用されるよ。
それは、コンピュータの起動時にコンピュータの構成を読み込み、ユーザのログイン時にユーザの構成を読み込むから。

で、「ユーザーグループポリシーのループバック処理モードを構成する」というポリシーでユーザーの構成を当てなおすということができる。
ユーザログイン時にループバックが設定されているグループポリシーのユーザの構成を適用するといったことをする。
「置換」と「統合」での適用方法がある。
置換:ループバックポリシー適用時にユーザログイン時に適用したユーザの構成をすべて無視する(未適用となる)
統合:ループバックポリシー適用時にユーザログイン時に適用したユーザの構成に加えて適用する
ちなみに、コンピュータの構成で最後に適用されたループバックのモードで適用されるので、打ち消しあうこともできる。
なので、rsop.mscやgpresult /hで適用先のコンピュータで最終的なループバックモードを確認しておくといいかも。

以下のような王道を征くOU構成の場合にループバックを含めたポリシーを適用した場合

 

最終的なループバックモード:統合

順序 タイミング ポリシー名 構成 適用有無
1 コンピュータ起動時 コンピュータ用ポリシーA コンピュータの構成 適用される
2 コンピュータ起動時 コンピュータ用ポリシーB(ループバック「統合」) コンピュータの構成 適用される
3 ユーザログイン時 ユーザ用ポリシーA ユーザの構成 適用される
4 ユーザログイン時 ユーザ用ポリシーB ユーザの構成 適用される
5 ユーザログイン時 コンピュータ用ポリシーB(ループバック「統合」) ユーザの構成 適用される

 

最終的なループバックモード:統合(置換を打ち消し)

順序 タイミング ポリシー名 構成 適用有無
1 コンピュータ起動時 コンピュータ用ポリシーA(ループバック「置換」) コンピュータの構成 適用される
2 コンピュータ起動時 コンピュータ用ポリシーB(ループバック「統合」) コンピュータの構成 適用される
3 ユーザログイン時 ユーザ用ポリシーA ユーザの構成 適用される
4 ユーザログイン時 ユーザ用ポリシーB ユーザの構成 適用される
5 ユーザログイン時 コンピュータ用ポリシーB(ループバック「置換」) ユーザの構成 適用される
6 ユーザログイン時 コンピュータ用ポリシーB(ループバック「統合」) ユーザの構成 適用される

 

最終的なループバックモード:置換(統合を打ち消し)

順序 タイミング ポリシー名 構成 適用有無
1 コンピュータ起動時 コンピュータ用ポリシーA(ループバック「統合」) コンピュータの構成 適用される
2 コンピュータ起動時 コンピュータ用ポリシーB(ループバック「置換」) コンピュータの構成 適用される
3 ユーザログイン時 ユーザ用ポリシーA ユーザの構成 適用されない
4 ユーザログイン時 ユーザ用ポリシーB ユーザの構成 適用されない
5 ユーザログイン時 コンピュータ用ポリシーB(ループバック「統合」) ユーザの構成 適用される
6 ユーザログイン時 コンピュータ用ポリシーB(ループバック「置換」) ユーザの構成 適用される

 

ちなみにループバックのポリシーはここ。

ループバックを含めたポリシーを設定すると、グループポリシーエディタ上でのリンクの順序に表示されないから、一気に煩雑になっちゃう。
トラブルシューティングがかなりやりにくくなるから、注意が必要かも。
なるべくやらないほうがいいような気もするけど、プロキシ設定などは使わざるを得ないときはあるかも。

【グループポリシー】基本設定を使う際の注意点

2008から登場したらしい、グループポリシーの基本設定。
用意されているグループポリシーテンプレートから設定する場合は、該当のレジストリであるPolices配下のキーに対して、値が投入される。
そのテンプレートが削除やリンクが外された場合、その値も削除される。

一方、基本設定を設定する場合、そのポリシーを削除やリンクを外してもその値は保持される。

という違いがあるので注意。
そういえば、基本設定のレジストリをガシガシいじってたとき、元に戻そうとしても戻らないっていうパターンがあったんだよね。
もし、元に戻すなら、打消し用のポリシーを再度適用する必要があるよ。

【グループポリシー】グループポリシーテンプレートで適用されるレジストリの見つけ方

グループポリシーは、基本的に対象端末のレジストリを書き換えるもで、C:\Windows\PolicyDefinitions内にある、admxファイルがそのテンプレートたちを構成している。
ポリシーの名前からレジストリを引くこともできるし、逆引きもできる。
こんな感じで。

例えば、「デスクトップの背景を変更できないようにする」というポリシーを設定した場合の、レジストリを探してみる。

サクラエディタなどで、「C:\Windows\PolicyDefinitions」内の文字列を全検索する。

検索結果に表示さた「<string id=”CPL_Personalization_NoDesktopBackgroundUI”>」に注目する。

上記の検索結果の「C:\Windows\PolicyDefinitions\ja-JP\ControlPanelDisplay.adml」に対応している同名のadmxファイルを開き、上記の検索結果で検索する。該当箇所付近のKeyとValueNameがレジストリの値。

実際に反映されているレジストリを見てみるとちゃんとある。

【グループポリシー】パスワードなし設定を許可する

テスト環境などはパスワード入力がいちいちめんどくさいので、ノンパスにしてしまいたいところ。
ドメイン環境の場合は以下のようにDefault Domain Policyを設定することでノンパスを許可できる。

 

パスワードなしで設定してみると、

 

できました。

 

ちなみにWORKGROUP環境の場合は、ローカルセキュリティポリシーを以下の通りにする。

【グループポリシー】ソフトウェア制限ポリシー内での優先度

以下のように、「パスの規則で許可する」に対して、「パスの規則で制限しない」とする場合、上位で設定したソフトウェア制限ポリシーを打ち消すことができない。

例として、mstscの制限をやってみるよ。



ポリシーの結果セットを見るとmstsc.exeの項目が重複する。
同様の項目があった場合、「許可しない>制限しない」となることがわかる。

 

解消する方法として、「ハッシュの規則で許可する」設定を下位GPOで設定することで、打ち消すことができる。

ポリシーの結果セットを見るとmstsc.exeの項目はパスとハッシュが混在した状況になる。
mstscが実行できたため、「ハッシュの規則で制限しない>パスの規則で許可しない」となる。

なので、優先度的にはこんな感じだと思う。

ハッシュの制限で許可しない>ハッシュの制限で制限しない>パスの規則で許可しない>パスの規則で制限しない

 

【ActiveDirectory】グループポリシーのドライブマップ(基本設定)

グループポリシーの基本設定-ドライブマップの設定方法。
自分の現場では、ログオンスクリプトでnet useするものを設定していたんだけど、マウントされたりされなかったりで、動作がかなり不安定。
結果、ドライブマップ設定をすることになりました。

任意のグループポリシーを開き、「ユーザーの構成」-「基本設定」-「Windowsの設定」-「ドライブマップ」を開く。

「場所」と「次の文字を使用」を設定する。

ポリシー適用端末での動作確認。Vドライブにマウントできている。

 

ちなみに、本設定の実体ファイルは「C:\Windows\SYSVOL\domain\Policies\{GPID}\User\Preferences\Drives」にあります。

設定対象のGPOが大量にあったので、XMLを量産して配置するスクリプトを考えたんだけど、UIDをランダムで定義するようなことをしているみたいで断念しました。

【ActiveDirectory】Default Domain PolicyまたはDefault Domain Controllers Policyを初期設定に戻す

Active Directoryインストール時に、デフォルトで設定されている「Default Domain Policy」、「Default Domain Controllers Policy」。
バリバリいじったあと、バックアップを取っていない場合などに便利。

例として、Default Domain Policyに適当なレジストリを設定する。

「dcgpofix /target:domain」コマンドを実行する。

コマンド実行後、GPOを確認すると、レジストリ設定は消えている。

/targetオプションの指定方法
「Domain」⇒「Default Domain Policy」
「DC」⇒「Default Domain Controllers  Policy」
「BOTH」⇒両方

【ActiveDirectory】グループポリシーで「フォルダ」から「フォルダ」のコピーをする

というのは実はできないみたい。
ソースファイル、ターゲットファイルをフルパス指定することで、疑似的に可能。ただ、ファイル数が多いと面倒くさいので、その場合はスタートアップスクリプトなどで対処する必要がある。

たとえば、フォルダ「C:\work\test1」をコピーしたい場合

「ターゲットファイル」をフルパスで指定する。

再起動時、「test2」フォルダとその中のファイルもコピーされている。