Windows Server 2008 R2にActive Directoryをインストールしよう [No.6] [Active Directory]
今回はグループポリシーを作成してOUへ適用したいと思います。
グループ ポリシーには、ユーザーに影響を与える [ユーザーの構成] のポリシー設定と、コンピュータに影響を与える [コンピュータの構成] のポリシー設定があります。
まずは [コンピュータの構成]で制御内容を設定し、クライアントPC管理用OU(Clients)に適用したいと思います。
[コンピュータの構成]の項目はコンピュータ起動時に適用されます。
スタートメニューから管理ツールを選び、クループポリシーの管理をクリックします。
グループポリシーの管理が起動したら、グループポリシーオブジェクトをクリックします。
すでにデフォルトのDefault Domain Controllers PolicyとDefault Domain Policyの2つのポリシーが存在します。

グループポリシーオブジェクトを右クリックして、新規をクリックします。

名前にClients Policyと入力し、OKをクリックします。

Clients Policyができました。

Clients Policyを右クリックして、編集をクリックします。

ここからポリシーを編集します。まず、パスワードのポリシーを設定します。
初期値は未定義となっていますので、セキュリティ要件に合わせます。例として、以下のようなポリシーにします。
パスワードの長さ:8文字以上
パスワードの変更禁止期間:なし
パスワードの有効期間:60日
パスワードの履歴:3回(過去3回のパスワードは使わせない)
暗号化を元に戻せる:無効
複雑さの要件を満たす必要:無効

パスワードの長さに8を入力し、OKをクリックします。

パスワードの変更禁止期間に0を入力し、OKをクリックします。

パスワードの有効期間に60を入力し、OKをクリックします。

パスワードの履歴に3を入力し、OKをクリックします。

「暗号化を元に戻せる」は無効にチェックを入れ、OKをクリックします。

「複雑さの要件を満たす必要」は無効にチェックを入れ、OKをクリックします。

設定内容を確認します。

次にアカウントロックアウトのポリシーを編集します。
初期値は未定義になっていますので、以下を例として設定します。
アカウントのロックアウト:3回ログオンに失敗
ロックアウトカウンタのリセット:30分後
ロックアウト期間:30分

アカウントのロックアウトに3を入力し、OKをクリックします。

ロックアウトカウンタのリセットに30を入力し、OKをクリックします。

ロックアウト期間に30を入力し、OKをクリックします。

設定内容を確認します。

監査ポリシーも編集します。
初期値は未定義になっていますので、以下を例として設定します。
ログオンイベントの監査のみ有効

ログオンイベントの監査で定義するにチェックを入れ、成功と失敗にもチェックを入れて、OKをクリックします。

設定内容を確認します。

セキュリティオプションを編集します。
初期値は未定義になっていますので、以下を例として設定します。
対話型Ctrl+Alt+Delを必要としない:無効(=Ctrl+Alt+Delが必要になる)
ログオンキャッシュ:10ログオン
パスワードが切れる前に通知する日数:30日間
最後のユーザー名を表示しない:有効(=ユーザー名を必ず入力させる)

「対話型Ctrl+Alt+Delを必要としない」は無効にチェックを入れ、OKをクリックします。

ログオンキャッシュに10を入力し、OKをクリックします。

パスワードが切れる前に通知する日数に30を入力し、OKをクリックします。

「最後のユーザー名を表示しない」は有効にチェックを入れ、OKをクリックします。

設定内容を確認します。

イベントログもある程度残ったほうが良いので、最大サイズと上書きを編集します。
最大サイズ:32MB
ログの保存方法:必要時

設定内容を確認します。右上の×ボタンで閉じます。

Clientsをクリックします。リンクされたポリシーはありません。

Clientsを右クリックして、既存のGPOのリンクをクリックします。

作成したClients Policyを選んで、OKをクリックします。

Clients Policyがリングされました。

グループポリシーの継承を見ると、優先順位1にClients Policy、優先順位2にはDefault Domain Policyが継承されています。
優先順位1のほうが優先度が高く、優先順位1と2で同じ項目が設定されている場合は、優勢順位1が適用されます。

次回は[ユーザーの構成]を編集し、ユーザー用のOUに適用します。
次回もお楽しみに!!
グループ ポリシーには、ユーザーに影響を与える [ユーザーの構成] のポリシー設定と、コンピュータに影響を与える [コンピュータの構成] のポリシー設定があります。
まずは [コンピュータの構成]で制御内容を設定し、クライアントPC管理用OU(Clients)に適用したいと思います。
[コンピュータの構成]の項目はコンピュータ起動時に適用されます。
スタートメニューから管理ツールを選び、クループポリシーの管理をクリックします。
グループポリシーの管理が起動したら、グループポリシーオブジェクトをクリックします。
すでにデフォルトのDefault Domain Controllers PolicyとDefault Domain Policyの2つのポリシーが存在します。

グループポリシーオブジェクトを右クリックして、新規をクリックします。

名前にClients Policyと入力し、OKをクリックします。

Clients Policyができました。

Clients Policyを右クリックして、編集をクリックします。

ここからポリシーを編集します。まず、パスワードのポリシーを設定します。
初期値は未定義となっていますので、セキュリティ要件に合わせます。例として、以下のようなポリシーにします。
パスワードの長さ:8文字以上
パスワードの変更禁止期間:なし
パスワードの有効期間:60日
パスワードの履歴:3回(過去3回のパスワードは使わせない)
暗号化を元に戻せる:無効
複雑さの要件を満たす必要:無効

パスワードの長さに8を入力し、OKをクリックします。

パスワードの変更禁止期間に0を入力し、OKをクリックします。

パスワードの有効期間に60を入力し、OKをクリックします。

パスワードの履歴に3を入力し、OKをクリックします。

「暗号化を元に戻せる」は無効にチェックを入れ、OKをクリックします。

「複雑さの要件を満たす必要」は無効にチェックを入れ、OKをクリックします。

設定内容を確認します。

次にアカウントロックアウトのポリシーを編集します。
初期値は未定義になっていますので、以下を例として設定します。
アカウントのロックアウト:3回ログオンに失敗
ロックアウトカウンタのリセット:30分後
ロックアウト期間:30分

アカウントのロックアウトに3を入力し、OKをクリックします。

ロックアウトカウンタのリセットに30を入力し、OKをクリックします。

ロックアウト期間に30を入力し、OKをクリックします。

設定内容を確認します。

監査ポリシーも編集します。
初期値は未定義になっていますので、以下を例として設定します。
ログオンイベントの監査のみ有効

ログオンイベントの監査で定義するにチェックを入れ、成功と失敗にもチェックを入れて、OKをクリックします。

設定内容を確認します。

セキュリティオプションを編集します。
初期値は未定義になっていますので、以下を例として設定します。
対話型Ctrl+Alt+Delを必要としない:無効(=Ctrl+Alt+Delが必要になる)
ログオンキャッシュ:10ログオン
パスワードが切れる前に通知する日数:30日間
最後のユーザー名を表示しない:有効(=ユーザー名を必ず入力させる)

「対話型Ctrl+Alt+Delを必要としない」は無効にチェックを入れ、OKをクリックします。

ログオンキャッシュに10を入力し、OKをクリックします。

パスワードが切れる前に通知する日数に30を入力し、OKをクリックします。

「最後のユーザー名を表示しない」は有効にチェックを入れ、OKをクリックします。

設定内容を確認します。

イベントログもある程度残ったほうが良いので、最大サイズと上書きを編集します。
最大サイズ:32MB
ログの保存方法:必要時

設定内容を確認します。右上の×ボタンで閉じます。

Clientsをクリックします。リンクされたポリシーはありません。

Clientsを右クリックして、既存のGPOのリンクをクリックします。

作成したClients Policyを選んで、OKをクリックします。

Clients Policyがリングされました。

グループポリシーの継承を見ると、優先順位1にClients Policy、優先順位2にはDefault Domain Policyが継承されています。
優先順位1のほうが優先度が高く、優先順位1と2で同じ項目が設定されている場合は、優勢順位1が適用されます。

次回は[ユーザーの構成]を編集し、ユーザー用のOUに適用します。
次回もお楽しみに!!
コメント 0