Windows Server 2008 R2にActive Directoryをインストールしよう [No.6] [Active Directory]
今回はグループポリシーを作成してOUへ適用したいと思います。
グループ ポリシーには、ユーザーに影響を与える [ユーザーの構成] のポリシー設定と、コンピュータに影響を与える [コンピュータの構成] のポリシー設定があります。
まずは [コンピュータの構成]で制御内容を設定し、クライアントPC管理用OU(Clients)に適用したいと思います。
[コンピュータの構成]の項目はコンピュータ起動時に適用されます。
スタートメニューから管理ツールを選び、クループポリシーの管理をクリックします。
グループポリシーの管理が起動したら、グループポリシーオブジェクトをクリックします。
すでにデフォルトのDefault Domain Controllers PolicyとDefault Domain Policyの2つのポリシーが存在します。
グループポリシーオブジェクトを右クリックして、新規をクリックします。
名前にClients Policyと入力し、OKをクリックします。
Clients Policyができました。
Clients Policyを右クリックして、編集をクリックします。
ここからポリシーを編集します。まず、パスワードのポリシーを設定します。
初期値は未定義となっていますので、セキュリティ要件に合わせます。例として、以下のようなポリシーにします。
パスワードの長さ:8文字以上
パスワードの変更禁止期間:なし
パスワードの有効期間:60日
パスワードの履歴:3回(過去3回のパスワードは使わせない)
暗号化を元に戻せる:無効
複雑さの要件を満たす必要:無効
パスワードの長さに8を入力し、OKをクリックします。
パスワードの変更禁止期間に0を入力し、OKをクリックします。
パスワードの有効期間に60を入力し、OKをクリックします。
パスワードの履歴に3を入力し、OKをクリックします。
「暗号化を元に戻せる」は無効にチェックを入れ、OKをクリックします。
「複雑さの要件を満たす必要」は無効にチェックを入れ、OKをクリックします。
設定内容を確認します。
次にアカウントロックアウトのポリシーを編集します。
初期値は未定義になっていますので、以下を例として設定します。
アカウントのロックアウト:3回ログオンに失敗
ロックアウトカウンタのリセット:30分後
ロックアウト期間:30分
アカウントのロックアウトに3を入力し、OKをクリックします。
ロックアウトカウンタのリセットに30を入力し、OKをクリックします。
ロックアウト期間に30を入力し、OKをクリックします。
設定内容を確認します。
監査ポリシーも編集します。
初期値は未定義になっていますので、以下を例として設定します。
ログオンイベントの監査のみ有効
ログオンイベントの監査で定義するにチェックを入れ、成功と失敗にもチェックを入れて、OKをクリックします。
設定内容を確認します。
セキュリティオプションを編集します。
初期値は未定義になっていますので、以下を例として設定します。
対話型Ctrl+Alt+Delを必要としない:無効(=Ctrl+Alt+Delが必要になる)
ログオンキャッシュ:10ログオン
パスワードが切れる前に通知する日数:30日間
最後のユーザー名を表示しない:有効(=ユーザー名を必ず入力させる)
「対話型Ctrl+Alt+Delを必要としない」は無効にチェックを入れ、OKをクリックします。
ログオンキャッシュに10を入力し、OKをクリックします。
パスワードが切れる前に通知する日数に30を入力し、OKをクリックします。
「最後のユーザー名を表示しない」は有効にチェックを入れ、OKをクリックします。
設定内容を確認します。
イベントログもある程度残ったほうが良いので、最大サイズと上書きを編集します。
最大サイズ:32MB
ログの保存方法:必要時
設定内容を確認します。右上の×ボタンで閉じます。
Clientsをクリックします。リンクされたポリシーはありません。
Clientsを右クリックして、既存のGPOのリンクをクリックします。
作成したClients Policyを選んで、OKをクリックします。
Clients Policyがリングされました。
グループポリシーの継承を見ると、優先順位1にClients Policy、優先順位2にはDefault Domain Policyが継承されています。
優先順位1のほうが優先度が高く、優先順位1と2で同じ項目が設定されている場合は、優勢順位1が適用されます。
次回は[ユーザーの構成]を編集し、ユーザー用のOUに適用します。
次回もお楽しみに!!
グループ ポリシーには、ユーザーに影響を与える [ユーザーの構成] のポリシー設定と、コンピュータに影響を与える [コンピュータの構成] のポリシー設定があります。
まずは [コンピュータの構成]で制御内容を設定し、クライアントPC管理用OU(Clients)に適用したいと思います。
[コンピュータの構成]の項目はコンピュータ起動時に適用されます。
スタートメニューから管理ツールを選び、クループポリシーの管理をクリックします。
グループポリシーの管理が起動したら、グループポリシーオブジェクトをクリックします。
すでにデフォルトのDefault Domain Controllers PolicyとDefault Domain Policyの2つのポリシーが存在します。
グループポリシーオブジェクトを右クリックして、新規をクリックします。
名前にClients Policyと入力し、OKをクリックします。
Clients Policyができました。
Clients Policyを右クリックして、編集をクリックします。
ここからポリシーを編集します。まず、パスワードのポリシーを設定します。
初期値は未定義となっていますので、セキュリティ要件に合わせます。例として、以下のようなポリシーにします。
パスワードの長さ:8文字以上
パスワードの変更禁止期間:なし
パスワードの有効期間:60日
パスワードの履歴:3回(過去3回のパスワードは使わせない)
暗号化を元に戻せる:無効
複雑さの要件を満たす必要:無効
パスワードの長さに8を入力し、OKをクリックします。
パスワードの変更禁止期間に0を入力し、OKをクリックします。
パスワードの有効期間に60を入力し、OKをクリックします。
パスワードの履歴に3を入力し、OKをクリックします。
「暗号化を元に戻せる」は無効にチェックを入れ、OKをクリックします。
「複雑さの要件を満たす必要」は無効にチェックを入れ、OKをクリックします。
設定内容を確認します。
次にアカウントロックアウトのポリシーを編集します。
初期値は未定義になっていますので、以下を例として設定します。
アカウントのロックアウト:3回ログオンに失敗
ロックアウトカウンタのリセット:30分後
ロックアウト期間:30分
アカウントのロックアウトに3を入力し、OKをクリックします。
ロックアウトカウンタのリセットに30を入力し、OKをクリックします。
ロックアウト期間に30を入力し、OKをクリックします。
設定内容を確認します。
監査ポリシーも編集します。
初期値は未定義になっていますので、以下を例として設定します。
ログオンイベントの監査のみ有効
ログオンイベントの監査で定義するにチェックを入れ、成功と失敗にもチェックを入れて、OKをクリックします。
設定内容を確認します。
セキュリティオプションを編集します。
初期値は未定義になっていますので、以下を例として設定します。
対話型Ctrl+Alt+Delを必要としない:無効(=Ctrl+Alt+Delが必要になる)
ログオンキャッシュ:10ログオン
パスワードが切れる前に通知する日数:30日間
最後のユーザー名を表示しない:有効(=ユーザー名を必ず入力させる)
「対話型Ctrl+Alt+Delを必要としない」は無効にチェックを入れ、OKをクリックします。
ログオンキャッシュに10を入力し、OKをクリックします。
パスワードが切れる前に通知する日数に30を入力し、OKをクリックします。
「最後のユーザー名を表示しない」は有効にチェックを入れ、OKをクリックします。
設定内容を確認します。
イベントログもある程度残ったほうが良いので、最大サイズと上書きを編集します。
最大サイズ:32MB
ログの保存方法:必要時
設定内容を確認します。右上の×ボタンで閉じます。
Clientsをクリックします。リンクされたポリシーはありません。
Clientsを右クリックして、既存のGPOのリンクをクリックします。
作成したClients Policyを選んで、OKをクリックします。
Clients Policyがリングされました。
グループポリシーの継承を見ると、優先順位1にClients Policy、優先順位2にはDefault Domain Policyが継承されています。
優先順位1のほうが優先度が高く、優先順位1と2で同じ項目が設定されている場合は、優勢順位1が適用されます。
次回は[ユーザーの構成]を編集し、ユーザー用のOUに適用します。
次回もお楽しみに!!
コメント 0