グループポリシーって何をするもの?
どこの企業も社員一人一人に1台以上のPCを配布されるのは今や当たり前ですが、PCを管理する情報システム部などではこれらのPCについての設定はどのようにしているでしょう?
PCを配布する前、いわゆるキッティングの時にPCに対して細かい設定を入れている事もあるでしょう。または何かしら設定変更が必要になった際にはフィールドサポートが多数お出まししてお祭り騒ぎになる事もあるでしょう。
これらの設定を、ADドメインに参加しているPC、もしくはADドメインにログオンしているユーザーであれば、ひとまとまり一括で管理できる機能、それがグループポリシーとなります。
どんな設定が可能か
グループポリシーの設定は大きく2つに分かれます。
・コンピュータへの設定
・ユーザーへの設定
コンピュータへの設定
コンピュータ、つまりPCの動作に対して設定を配布する事ができます。PCに誰もログオンしていない状態でも、PCに電源が入っていてオンライン状態であればこのポリシーは配布されます。
また誰がログオンしていても、等しく同じ設定が適用されるのもこのコンピュータへの設定の特徴となります。
例)PCの利用用途に応じたディスプレイの電源設定をグループポリシーで配布する
コンピュータへの設定(アカウントポリシー)
コンピューターの構成設定内容でよく勘違いされやすいのがこのアカウントポリシー。
「アカウントのポリシーがなんでコンピュータの構成のところで設定されるの?」という疑問が湧いてくるのも当然のこと。
まず、アカウントポリシーは下記の通り。
・パスワードのポリシー
パスワードの変更禁止期間・・・既定で1日
パスワードの履歴を記録する・・・既定で24回
パスワードの最小文字数の制限を緩和する・・・既定で未定義
パスワードの最小文字数の監査・・・既定で未定義
パスワードの有効期限・・・既定で42日
パスワードの長さ・・・既定で7文字以上
暗号化を元に戻せる状態でパスワードを保存する・・・既定で無効
複雑さの要件を満たす必要があるパスワード・・・既定で無効
・アカウント ロックアウトのポリシー
アカウントのロックアウトのしきい値・・・既定で5回ログオンに失敗
ロックアウト カウンターのリセット・・・既定で30分後
ロックアウト期間・・・既定で30分
・Kerberosポリシー
コンピュータの時計の同期の最長トレランス・・・既定で5分
サービス チケットの最長有効期間・・・既定で600分
チケットの最長有効期間・・・既定で10時間
ユーザー チケットを更新できる最長有効期間・・・既定で7日
ユーザー ログオンの制限を強制する・・・既定で有効
これらの設定、特にパスワードポリシーについてはユーザーがPCに「サインインする時」に適用されるもの。
<PCサインインまでのプロセス>
PCの電源オン >> OSの起動 >> ネットワーク接続 >> コンピュータポリシー適用 >> サイン画面表示 >>ユーザーのサインイン試行 >> アカウントポリシーのチェック >> ユーザーサインイン成功 >> ユーザーポリシー適用
仮にアカウントポリシーのチェックの際にパスワードの有効期限が切れている場合、パスワードの変更要求が来る。このサインイン前のタイミングにて、ルールに準拠したパスワード(長さや前回のパスワードと異なるか、など)が設定されたかをチェックされなければならない。
ユーザーポリシーでアカウントポリシーが設定されるのではアカウントポリシーのチェックに間に合わないため、アカウントポリシーはサインイン前に読み込まれるコンピュータポリシーで設定が行われるのです。
よくある疑問なので説明できるように覚えておこう。マイクロソフトの気まぐれですかね~なんて答えないように!w
ユーザーアカウントへの設定
ユーザーアカウントのポリシーは、ユーザーがPCに認証を行いログオンしている状態の時に、ログオンしたユーザーアカウントに応じた設定が適用されます。
例)部門ごとに異なるメッセージ表示する設定をグループポリシーで配布する
続き:「グループポリシーの設定手順」へ
コメント