Windows 2003 で OU レベルでポリシーを適用する方法

tag-icon tag-icon windows-server-2003 active-directory group-policy security
Windows 2003 で OU レベルでポリシーを適用する方法

さて、レベルを上げます。私はシステム管理者の仕事をしようとしているソフトウェア エンジニアです。

私は尋ねたパスワードポリシーの上書きに関する質問正しいように聞こえる答えを得ましたが、その答えをどうすればよいのか理解できませんでした。

基本的に、問題のコンピューターの ou レベルでポリシーの変更を適用するように指示されました。これまで、いかなる種類のポリシーも適用する必要はありませんでした。

初心者にこれをどうやってやるかステップバイステップで教えてくれる人はいませんか。(その他の質問私がこれをやっているのには理由があります。

答え1

OU レベルでグループ ポリシーを適用するには、AD ユーザーとコンピューターに移動し、ポリシーを適用する OU を右クリックして、プロパティに移動します。ここで、グループ ポリシー タブを選択します。ここでポリシーが設定されます。

[新規] をクリックして新しいポリシーを作成し、名前を付けて、[編集] をクリックします。これにより、編集ウィンドウが表示され、セキュリティ設定 (コンピューターの構成 -> Windows 設定) やその他の必要な設定にドリルダウンして、ポリシーを必要なものに変更することができます。

保存するには、ウィンドウを閉じるだけです。完了したら、コマンドから gpupdate を実行して、ポリシーが更新されていることを確認してください。

答え2

パスワード ポリシーに関する回答を出したのが私です... >smile<

Sam の回答は基本的に正しいです。状況をもう少し具体的に説明すると、パスワード ポリシー設定を含む GPO を、別のパスワード ポリシーを必要とするサーバー コンピューターが配置されている OU にリンクする必要があります。その OU に他のコンピューターがある場合は、それらのコンピューターにもポリシーが適用されることに注意してください。これは、まさにあなたが望んでいることではないかもしれません。

次の点を考慮してください。

 [domain] domain.com
   |
   |- [OU] Member Server Computers
   |   |
   |   |- [Computer] SERVER01
   |   |
   |   |- [Computer] SERVER02

SERVER02 のみに変更されたパスワード ポリシー設定を適用したい場合、最善の策は、次のように、「Member Server Computers」OU のサブ OU を作成し、その中に SERVER2 を配置することです。

 [domain] domain.com
   |
   |- [OU] Member Server Computers
   |   |
   |   |- [Computer] SERVER01
   |   |
   |   |- [OU] Relaxed Local Password Policy Computers
  ...  |   |
      ...  |- [Computer] SERVER02

この方法では、「メンバー サーバー コンピューター」に既に適用されているすべての GPO は、SERVER2 にも適用されます (ディレクトリ内の場所が「メンバー サーバー コンピューター」の下にあるため)。ただし、作成して「緩和されたローカル パスワード ポリシー コンピューター」にリンクする GPO は、SERVER02 にのみ適用されます。

サブ OU でこれを行うのも便利です。"SERVER02" と同じ OU に他のコンピュータが存在すると仮定すると、意図しない操作を行った場合にポリシーの適用が制限されるからです。グループ ポリシーを使用すると、多数のコンピュータを非常に迅速かつ効率的に損傷することができます... >smile< これは、人間のミスを増幅するための優れたツールです。

(そこにはサブ OU を作成せずに GPO を SERVER02 にのみ適用する他の方法。ここではそれらについて説明する場所ではありませんが、準備ができたら、お気に入りの検索エンジンで「グループ ポリシー フィルタリング アクセス許可」というフレーズを検索して、詳細を確認してください。

OS のグループ ポリシーに関するドキュメントは、本当に複雑でひどいことがわかりました。「優先順位」などについてあれこれ言われていますが、これはグループ ポリシーがユーザーまたはコンピューターに一連の GPO を適用して「有効な」設定を決定するために使用する非常に単純なアルゴリズムですが、Microsoft のテクニカル ライターはそれを「魔法」のように見せたいようで、そのためドキュメントが複雑になりすぎているようです。マイクとスクリーン キャプチャ ユーティリティを持って、いつか座って「グループ ポリシー アプリケーションのチュートリアル」ビデオか何かを作るべきです。(ええ、私のたっぷりある自由時間に...)

答え3

さて、私はあなたにこれただし、少し面倒な点もあるため、まずは非運用環境でグループ ポリシーを使用してみることをお勧めします。ただし、慣れてしまえば、ワークステーションとサーバーを管理する非常に効率的な方法になります。Microsoft Press または O'Reilly から、Windows サーバー管理とグループ ポリシーに焦点を当てた本を入手することをお勧めします。

答え4

グループ ポリシーを特定のユーザーまたはユーザー グループに適用することはできません。特定のユーザーに対して別のポリシーを作成する場合は、最初に OU を作成し、必要な GP を適用してから、ユーザーまたはグループを OU に移動する必要があります。これは、ユーザーとユーザー グループを管理するためのベスト プラクティスです。

関連情報