Upload
mari-miyakawa
View
2.635
Download
0
Embed Size (px)
DESCRIPTION
2014.05.24 Cloud OS MVP RoadShow にて登壇時の利用資料です。
Citation preview
Active Directory のおさらいをしましょう!
~グループポリシー編~
Cloud OS RoadShow
2014.5.24
自己紹介宮川 麻里(みやかわ まり)
System Center Users Group Japan 所属
Microsoft Certified Trainer
主な担当コース
・Windows Server 関連
Active Directory
Windows Server 2003 からの移行
・Office 365 関連
・SQL Server
アジェンダ
・グループポリシーのおさらい
・グループポリシーのうれしい機能
・まとめ
グループポリシーの目的は?
ユーザーやコンピューターの一元管理!
ドメインコントローラー
GPO
OR
ソフトウェアのインストールや制御
GPO
リムーバブル記憶媒体の利用禁止GPO
Windows 機能の制限
グループポリシーでできること
P-01
グループポリシーの作成箇所
グループポリシー管理コンソール(GPMC)
GPOの作成やバックアップなど
管理
グループポリシーの設定箇所グループポリシー管理エディタ
コンピューターの構成
ユーザーの構成
グループポリシーの動作
GPO は作成しただけでは動かない!
ドメイン/サイト/OU のいずれかへリンクする
グループポリシーの適用順序
ドメイン
OU
サイト
LSDOUローカル
グループポリシーの適用順序
ドメイン
OU
サイト
ローカル
レジストリ操作禁止!
有効
有効
有効
レジストリ操作禁止!は無効
無効
Sales_OU
グループポリシーの適用順序
ドメイン
OU
サイト
ローカル
レジストリ操作禁止!
有効
有効
有効
レジストリ操作禁止!
無効
Sales_OU
×継承のブロック
USB利用禁止
グループポリシーの適用順序
ドメイン
OU
サイト
ローカル
レジストリ操作禁止!
有効
有効
有効
レジストリ操作禁止!
無効
Sales_OU
強制
有効
グループポリシーの適用されるタイミング
ログオン時または起動時に適用
コンピューターの構成⇒起動時/ユーザーの構成⇒ログオン時
GPUPDATE.EXE コマンドで強制適用
/Force オプションをつけると全ポリシーを更新
Invoke-GPUPDATE コマンドでリモート更新
Power Shell のコマンドレット
グループポリシーの適用されるタイミング
Invoke-GPUpdate -Computer <コンピューター名> -Force
Windows ファイアウォールで以下の規制を有効!
・スケジュールされたリモートタスク管理 (RPC)・スケジュールされたリモートタスク管理 (RPC-EPMAP)・Windows Management Instrumentation (WMI受信)
WindowsServer 2012
Windows 8
Windows Server 2012 からといえば・・
グループポリシーの設定項目数がさらに増えました!
Windows Server 2008 / Vista管理用テンプレート:2,746セキュリティ設定:167
Windows Server 2008 R2 / Windows 7管理用テンプレート:3,102 セキュリティ設定:169
Windows Server 2012 R2 / Windows 8.1
管理用テンプレート:3,631セキュリティ設定: 181
http://technet.microsoft.com/ja-jp/windowserver/bb310732.aspx
グループポリシーセッティングリファレンス
日本語版のリファレンスがダウンロード可能
管理用テンプレートといえば・・・
Windows Server 2008Windows Vista からはADMXファイルという形式になりました!
管理用テンプレートファイル
• テンプレートの追加は、管理用テンプレート ファイルをMSサイトからダウンロードして上記フォルダーに保存するだけでOK!
言語依存情報ファイル(*.adml)
言語非依存情報ファイル (*.admx)
ADMXファイル *.admx言語情報に依存しないファイル
*.adml言語依存情報ファイル
C:¥Windows
¥PolicyDefinitions
¥ja-jp
管理用テンプレートファイル
ADMXファイルの形式になり、何がよくなったかというと・・・
管理用テンプレートファイル
GPOの数が多いとレプリケーションの負荷!
ADM ファイルでは GPO 毎にテンプレートがコピー
GPO
ポリシー
テンプレート
ポリシー
テンプレート
GPO
ポリシー
テンプレート
GPO
SYSVOL
SYSVOLGPO
ポリシー
テンプレート
ポリシー
テンプレート
GPO
ポリシー
テンプレート
GPO
2003・XPまでは
管理用テンプレートファイルADMX ファイルでは中央ストアに確認して GPO が参照する形式に!
GPO
ポリシー
テンプレート
ポリシー
GPOポリシー
GPO
SYSVOL
中央ストア
C:¥Windows
¥PolicyDefinitions
コピー
レプリケーションの負荷軽減!
シナリオ例①
全社員の PC新しいものに交換しておいて
ユーザーにはPCのAdmin権限を付与せずに情報システム部の管理としている企業にて・・・
80台分設定しないと…
シナリオ No.1
制限されたグループ
ユーザーの PC の Administrators にドメインの情シスのヘルプデスクGを追加する
制限されたグループ
制限されたグループ
制限されたグループ
追加されます
クライアント PC それぞれで設定する必要がなくなり作業負担が軽減されます。
制限されたグループ
シナリオ例②
P-01
社内環境でストアアプリ使用の禁止!
シナリオ No.2
方法① グループポリシーの「ストア」を利用
Windows Server 2012 の既定値ではWindows ストアアプリに関する項目がない!
管理用テンプレートを ¥PolicyDefinitionsフォルダにコピーする
「デスクトップエクスペリエンス」のインストール
あるいは
C:¥Windows
¥PolicyDefinitions
P-01
「ストア」が表示されます
「ストア」
-「ストアアプリをオフにする」
ー「有効」
AppLocker とは
特定のアプリケーションの実行を禁止したり許可したりする方法
適用先
「コンピューターの構成」のみ
方法② AppLocker 機能を利用
Windows 7 Professional や Vista ならば「ソフトウェアの制限のポリシー」機能が
利用可能
※ 以下の環境から利用可能Windows 7 Enterprise / Windows 8 EnterPriseWindows Server 2008 R2 Windows Server 2012 (全エディション)Windows Server 2012 R2
方法② AppLocker 機能を利用
ソフトウェアの制限のポリシーとAPPLockerの違い(抜粋)
ソフトウェアの制限のポリシー
APPLocker
対象範囲 全ユーザー 特定のユーザーやグループ
対象OS Windows XP・WindowsServer 2003 以降
Windows 7 Windows 8 EnterPriseWindows Server 2008 以降
規制のインポート・エクスポート
× 可能
PowerShell サポート × 可能
Test-AppLockerPolicyコマンドでテストも可能!
コンピューターの構成
-ポリシー
-Windowsの設定
-セキュリティの設定
-システムサービス
ー「Application Identity」
方法②の手順
サービスのスタートアップモードを「自動」にする
コンピューターの構成
-ポリシー
-Windowsの設定
-セキュリティの設定
-AppLocker
「既定の規則の作成」を選ん
で対象ユーザーに対して拒否
を選択。
ストアアプリの実行がすべてブロックされます
シナリオ例③
P-01
社員のドキュメントもバックアップの対象にしたい!
シナリオ No.3
フォルダリダイレクト
個人のPCではなく、ユーザーに意識させずにサーバーにファイルを格納できればバックアップの対象にできる。
サインイン
サインアウト
サインイン
サーバー上のファイルを利用
フォルダリダイレクトの動作
「ユーザーの構成」
-「ポリシー」
-「Windowsの設定」
-「フォルダーリダイレクト」
「ドキュメント」-「プロパティ」
「基本」ー全員のフォルダを同じ場所にリダイレクトする
「詳細設定」ーセキュリティグループ別に場所を指定する
適用対象となるグループを指定
ドキュメントに対する設定
「ターゲット」タブ 「設定」タブ
ユーザーは・利用するPCを意識せず作業ができる・ファイル喪失に泣かずにすむ
シナリオ例③
アンマウント#net use v: ¥¥sever01¥share
マウント#net use v: ¥¥sever01¥share
ネットワークドライブのマウントとか・・・Scriptで管理すると引き継ぎや PC への展開が面倒
シナリオ No.3
スクリプトで実装していた機能が「基本設定」機能で可能になります
GUIだし誰が見ても解りやすい!
シナリオ No.3
グループポリシー基本設定
グループポリシーの拡張機能
Windows Server 2008 ~
基本設定の場所
2008~
コレ!
コレ!
「基本設定」のさらなる特徴
適用対象範囲への柔軟なフィルタコンピュータ名やIPアドレスなど多数のフィルタ条件が用意されています!(以下は抜粋)
バッテリの存在でターゲットを設定する コンピューター名でターゲットを設定する
CPU 速度でターゲットを設定する 日付の一致でターゲットを設定する
オペレーティング システムでターゲットを設定する
環境変数でターゲットを設定する
IP アドレスの範囲でターゲットを設定する
言語でターゲットを設定する
MAC アドレスの範囲でターゲットを設定する
ポータブル コンピューターでターゲットを設定する
ネットワーク接続でターゲットを設定する
ユーザーでターゲットを設定する
http://technet.microsoft.com/ja-jp/library/cc733022.aspx
たとえばこんなフィルタ・・・
通常のグループポリシーは
PC のグループポリシー専用のレジストリ領域を操作する
・エンドユーザーによる変更はできない・グループポリシーを無効にすると設定は解除される
PC のレジストリを直接変更
・エンドユーザーによる変更が可能・原則としてポリシーを無効にしても設定は残る
(タトゥ―効果)
基本設定は
設定を一度だけ適用したり、適用対象外になった時に設定を削除できる
タトゥー効果を防ぐには
ココをチェック
基本設定は
たとえば・・・
P-01
Webシステムの勤怠管理ソフトをユーザーが自分の PC にログオンしたら、一度だけブラウザを立ち上げて表示させたい。
一度だけ
基本設定
ユーザーの構成
–基本設定
-Windows の設定
―レジストリ
新規作成
-レジストリ項目
―「全般」タブ
P-01
アクション: 更新
ハイブ: HKEY_CURRENT_USER
キーのパス: Software¥Microsoft¥Windows¥CurrentVersion¥RunOnce
値の名前: 適宜※ ここでは「IEAUTO」
値の種類: REG_SZ
値のデータ: iexplore.exe <表示したい URL>※ ここではBing
全般タブの入力項目
「1 度だけ適用し、再適用しない」 のチェックを入れて、[OK] をクリックします。
共通タブの入力項目
ドメインに参加しているクライアントから、ドメインユーザーでRunOnce レジストリキーに登録されているエントリを読み込み、IE が立ち上がって指定されたページが一度だけ表示されます。
デスクトップにログオンすると
まとめ
グループポリシーはさまざまな機能が存在します。うまく組み合わせればシステム管理者の負荷が軽減できます!ぜひ使いこなしましょう!
ご清聴ありがとうございました。