教えて!HELPDESK      Excel     Word      Outlook      Power Point      Windows

 

 

Active Directory:ドメイン コンピュータに適用されるセキュリティポリシー(総まとめ)

 

 

 

 


 

 

 

 


 

 

 

ドメイン内のサーバーやコンピュータにはいくつかのセキュリティポリシーが適用されます。1つのセキュリティポリシーではない為、仕組みが分かりづらいと思う方もいらっしゃるようです。

ここではドメイン内のサーバー、コンピュータに適用されるセキュリティポリシーについて詳しく解説していきます。

※ 初めにドメイン内のセキュリティポリシーの動作仕様について要約します。

  • 各コンピュータ/サーバーには、いくつかのポリシーが定義されたローカルセキュリティポリシーが存在し、これは必ず適用される。

  • その次にドメインセキュリティポリシーが適用される。ローカルセキュリティポリシーと競合する項目はドメインGPOが優先適用される。

  • ドメインGPOで初期設定されているのは主に「アカウントポリシー(パスワードポリシー/アカウントロックアウトのポリシー/Kerberosポリシー)」である。アカウントポリシーはドメインにリンクしたGPO以外では定義できない。(OUで定義しても無視される)

  • つまりドメインに参加しているコンピュータでは、主にアカウントポリシー以外はローカルセキュリティポリシーで定義されている 。その為これらはクライアントコンピュータでも変更可能だが、ポリシーはドメイン又はOUのGPOで一括して定義 ・管理することが望ましい。


記号

まずは各コンピュータのセキュリティポリシーが適用される

ドメインコントローラを含むサーバーやクライアントコンピュータにはそれぞれローカルセキュリティポリシー=ローカルグループポリシーオブジェクトのセキュリティ設定部分)が定義されており、これが必ず最初に適用されます。(LGPOの適用)
ローカルセキュリティポリシーには予め「アカウントポリシー」や「ユーザー権利の割り当て」「セキュリティオプション」など、PC操作に必要なセキュリティが定義されています。

 

ローカルセキュリティポリシーを確認するには、「ファイル名を指定して実行」から「secpol.msc」と入力してEnterキーを押すか、「管理ツール」−「ローカルセキュリティポリシー」をクリックします。

 

▼ ローカルセキュリティポリシーの内容。全てのコンピュータに、まずこのセキュリティポリシーが適用されます。

※ コンピュータには必ずローカルセキュリティポリシーが適用されているため、PCを利用する上で制約やルール、「管理者以外は〜が出来ない」といった制御が行われます。


記号

次に既定のドメインセキュリティポリシーが適用

ドメインに参加したコンピュータには、次に既定のドメインセキュリティポリシー=既定のドメインGPO(Default Domain Policy)-「コンピュータの構成」−「Windowsの設定」−「セキュリティの設定」の部分)が適用されます。LGPO(ローカルグループポリシー)は、ドメイングループポリシーに上書きされるため、バッティングするセキュリティポリシーがあった場合は最初に適用されたローカルセキュリティポリシーの定義内容は無効となります。
既定のドメインセキュリティポリシーには、予めアカウントポリシー(パスワード・アカウントロックアウト・Kerberos)が定義されて おり、この内容はドメイン全体に適用されます。尚、既定のドメインセキュリティポリシーには他の設定(ユーザー権利の割り当て等)は殆ど定義されていません。ですから 既定のGPOやOUで任意のセキュリティポリシーを定義しない限り、各クライアントコンピュータには自身のローカルセキュリティポリシーの設定が適用されます。(つまり既定ではドメインGPOで定義されるアカウントポリシー以外は、ローカルセキュリティポリシーで定義されている。)


記号

ドメインコントローラのセキュリティポリシー

ドメインコントローラはDomain Controllers OUに属しており、このOUにリンクしている既定のDC GPO(Default Domain Controllers Policy)のセキュリティ設定(=ドメインコントローラセキュリティポリシー)が適用されます。OUにリンクされたGPOは最強であるため、ドメインセキュリティポリシーよりドメインコントローラセキュリティポリシーが優先適用されることになります。

ドメインコントローラセキュリティポリシーで予め定義されているのは、「ローカルポリシー(監査ポリシー、ユーザー権利の割り当て、セキュリティオプション)」です。

「アカウントポリシー」はDCのGPOには定義されていません。「アカウントポリシー」はドメイン内で一意であるため、既定のドメインGPO(ドメインリンクのGPO)でしか定義できないのです。OUのGPOのアカウントポリシーは無視されます。


記号

現在適用されているセキュリティポリシーを確認するには
ドメイン内のクライアントコンピュータに適用されているセキュリティポリシーを確認する方法はいくつかあります。

◆ ローカルセキュリティポリシーで確認する場合 ◆

「管理ツール」−「ローカルセキュリティポリシー」をクリックするか、コマンドで「secpol.msc」と入力して起動します。
ローカルセキュリティポリシーにはローカルセキュリティポリシー、ドメインセキュリティポリシー、OUのポリシーで定義されているポリシーの累積結果が表示されるため、現在適用されているポリシー を確認することができます。(ドメインやOUのGPOで定義された項目はグレーアウトされローカル側では変更できない)

 

◆ ポリシーの結果セットで確認する場合 ◆

「ファイル名を指定して実行」で「mmc」と入力→Enterキーをおします。コンソールが起動したら、「ファイル」−「スナップインの追加と削除」−「ポリシーの結果セット」を追加し、「操作」メニュー−「RSOPデータの生成」をクリックしてウィザードを完了させます。

ポリシーの結果セットでは、ドメイン及びOUで定義されているポリシーの累積結果が表示され、更にどのGPOから取得しているかも分かります。
但し、ドメイン・OUで定義していない項目は「未定義」と表示 され、適用内容がわかりません。(ドメインGPOで定義していないポリシーはローカルセキュリティポリシーが適用されますが、その内容が分からないということです。例えば「ユーザー権利の割り当て」は全て「未定義」で表示されます。)

「未定義」部分は、ローカルセキュリティポリシーで確認しましょう。

 

 

教えて!HELPDESK      Excel     Word      Outlook      Power Point      Windows