Active Directory：ドメイン コンピュータに適用されるセキュリティポリシー（総まとめ）

ドメイン内のサーバーやコンピュータにはいくつかのセキュリティポリシーが適用されます。１つのセキュリティポリシーではない為、仕組みが分かりづらいと思う方もいらっしゃるようです。

ここではドメイン内のサーバー、コンピュータに適用されるセキュリティポリシーについて詳しく解説していきます。

※ 初めにドメイン内のセキュリティポリシーの動作仕様について要約します。

各コンピュータ／サーバーには、いくつかのポリシーが定義されたローカルセキュリティポリシーが存在し、これは必ず適用される。 その次にドメインセキュリティポリシーが適用される。ローカルセキュリティポリシーと競合する項目はドメインGPOが優先適用される。 ドメインGPOで初期設定されているのは主に「アカウントポリシー（パスワードポリシー／アカウントロックアウトのポリシー／Kerberosポリシー）」である。アカウントポリシーはドメインにリンクしたGPO以外では定義できない。（OUで定義しても無視される） つまりドメインに参加しているコンピュータでは、主にアカウントポリシー以外はローカルセキュリティポリシーで定義されている 。その為これらはクライアントコンピュータでも変更可能だが、ポリシーはドメイン又はOUのGPOで一括して定義 ・管理することが望ましい。

まずは各コンピュータのセキュリティポリシーが適用される

ドメインコントローラを含むサーバーやクライアントコンピュータにはそれぞれローカルセキュリティポリシー（＝ローカルグループポリシーオブジェクトのセキュリティ設定部分）が定義されており、これが必ず最初に適用されます。（LGPOの適用）
ローカルセキュリティポリシーには予め「アカウントポリシー」や「ユーザー権利の割り当て」「セキュリティオプション」など、PC操作に必要なセキュリティが定義されています。

　

ローカルセキュリティポリシーを確認するには、「ファイル名を指定して実行」から「secpol.msc」と入力してEnterキーを押すか、「管理ツール」−「ローカルセキュリティポリシー」をクリックします。

　

▼ ローカルセキュリティポリシーの内容。全てのコンピュータに、まずこのセキュリティポリシーが適用されます。

※ コンピュータには必ずローカルセキュリティポリシーが適用されているため、PCを利用する上で制約やルール、「管理者以外は〜が出来ない」といった制御が行われます。

次に既定のドメインセキュリティポリシーが適用

ドメインに参加したコンピュータには、次に既定のドメインセキュリティポリシー（＝既定のドメインGPO（Default Domain Policy)-「コンピュータの構成」−「Windowsの設定」−「セキュリティの設定」の部分）が適用されます。LGPO（ローカルグループポリシー）は、ドメイングループポリシーに上書きされるため、バッティングするセキュリティポリシーがあった場合は最初に適用されたローカルセキュリティポリシーの定義内容は無効となります。
既定のドメインセキュリティポリシーには、予めアカウントポリシー（パスワード・アカウントロックアウト・Kerberos）が定義されて おり、この内容はドメイン全体に適用されます。尚、既定のドメインセキュリティポリシーには他の設定（ユーザー権利の割り当て等）は殆ど定義されていません。ですから 既定のGPOやOUで任意のセキュリティポリシーを定義しない限り、各クライアントコンピュータには自身のローカルセキュリティポリシーの設定が適用されます。（つまり既定ではドメインGPOで定義されるアカウントポリシー以外は、ローカルセキュリティポリシーで定義されている。）

ドメインコントローラのセキュリティポリシー

ドメインコントローラはDomain Controllers OUに属しており、このOUにリンクしている既定のDC GPO（Default Domain Controllers Policy）のセキュリティ設定（＝ドメインコントローラセキュリティポリシー）が適用されます。OUにリンクされたGPOは最強であるため、ドメインセキュリティポリシーよりドメインコントローラセキュリティポリシーが優先適用されることになります。

ドメインコントローラセキュリティポリシーで予め定義されているのは、「ローカルポリシー（監査ポリシー、ユーザー権利の割り当て、セキュリティオプション）」です。

「アカウントポリシー」はDCのGPOには定義されていません。「アカウントポリシー」はドメイン内で一意であるため、既定のドメインGPO（ドメインリンクのGPO）でしか定義できないのです。OUのGPOのアカウントポリシーは無視されます。

現在適用されているセキュリティポリシーを確認するには ドメイン内のクライアントコンピュータに適用されているセキュリティポリシーを確認する方法はいくつかあります。

◆ ローカルセキュリティポリシーで確認する場合 ◆

「管理ツール」−「ローカルセキュリティポリシー」をクリックするか、コマンドで「secpol.msc」と入力して起動します。
ローカルセキュリティポリシーにはローカルセキュリティポリシー、ドメインセキュリティポリシー、OUのポリシーで定義されているポリシーの累積結果が表示されるため、現在適用されているポリシー を確認することができます。（ドメインやOUのGPOで定義された項目はグレーアウトされローカル側では変更できない）

　

◆ ポリシーの結果セットで確認する場合 ◆

「ファイル名を指定して実行」で「mmc」と入力→Enterキーをおします。コンソールが起動したら、「ファイル」−「スナップインの追加と削除」−「ポリシーの結果セット」を追加し、「操作」メニュー−「RSOPデータの生成」をクリックしてウィザードを完了させます。

ポリシーの結果セットでは、ドメイン及びOUで定義されているポリシーの累積結果が表示され、更にどのGPOから取得しているかも分かります。
但し、ドメイン・OUで定義していない項目は「未定義」と表示 され、適用内容がわかりません。（ドメインGPOで定義していないポリシーはローカルセキュリティポリシーが適用されますが、その内容が分からないということです。例えば「ユーザー権利の割り当て」は全て「未定義」で表示されます。）

「未定義」部分は、ローカルセキュリティポリシーで確認しましょう。