グループポリシー設定の操作：ローカルアカウントとの対話

ご存じのように、基本設定要素としてのグループポリシーテクノロジのクライアント側の拡張により、実際には、管理用テンプレートまたはセキュリティ設定を使用して単に実装できないさまざまなシナリオのほとんどを実行できます。 グループポリシーの基本設定のセット全体には、クライアント側の21の拡張機能（アプリケーションの基本設定の非アクティブな要素を含む）が含まれているため、スクリプトによって解決されたほとんどすべての操作は、このようなCSE拡張機能を使用して実装できます。

これらのクライアント側拡張機能の1つを使用すると、オペレーティングシステム自体がインストールされている場合でも、各マシン上にあるユーザーアカウントとグループアカウントを管理できます。 このようなアカウントに頻繁に対処する必要はありませんが、メンテナンス操作を実行する必要がある場合があり、そのようなメンテナンスの実行方法を知ることはこれまで以上に便利になります。

それはまさにそのようなアカウントとメンテナンスのシナリオです。この記事では停止します。 次に、ローカルユーザーアカウントとは何か、グループアカウントについて何かを学び、グループポリシーの機能と「ローカルユーザーとグループ」基本設定項目を使用してこれらのオブジェクトを管理する方法を学びます。 そして、私たちは今から始めます

ローカルアカウントの定義

いずれにせよ、会社の不可欠な部分は常にITインフラストラクチャ内のユーザーと呼ばれる従業員であり、各ユーザーのコンピューターでは、いくつかのドメイングループのメンバーであるドメインアカウントで最初にログインする前に、ユーザーは適切な権限を持つ特定のローカルグループに属するローカルユーザーアカウントでログインします。 原則として、このようなユーザーアカウントは2つあります。

• 管理者アカウント 。クライアントコンピューターまたはサーバーを管理するためのフルアクセスを提供し、必要に応じてユーザー権利とアクセス制御権限を割り当てることができます。 いずれにしても、このエントリは、実行に管理者の資格情報と管理アクセストークン自体が必要なタスクにのみ使用する必要があります。 このアカウントには強力なパスワードを強くお勧めします。
• Guestアカウントは 、ターゲットコンピューターに実際のアカウントを持っていないユーザーが使用します。 ユーザーアカウントが無効になっているが削除されていない場合は、 Guestアカウントも使用できます。 Guestアカウントにはパスワードは必要ありません。 デフォルトでは無効になっていますが、必要に応じていつでも有効にできます。 Guestアカウントには、他のアカウントと同様に、オブジェクトにアクセスするための権利とアクセス許可を付与できます。 デフォルトでは、これはデフォルトで使用される「ゲスト」グループに含まれており、ユーザーがターゲットコンピューターにローカルでログオンできるようにします。 Administratorsグループのメンバーは、権限などの追加の権限をGuestsグループに割り当てることができます。 デフォルトでは、このアカウントは無効になっています。多くの場合、この位置に残すことをお勧めします。

ローカルグループでは、すべてがはるかに多様で興味深いものになります。 29個以上あります。 デフォルトで使用されるローカルグループは、クライアントオペレーティングシステム、およびスタンドアロンサーバーまたはメンバーサーバーのインストール中に自動的に作成されます。 ローカルグループに所属すると、ユーザーにローカルコンピューターでさまざまなタスクを実行する権利と機会が与えられます。 ほとんどのグループの指定をよく知っているので、各グループを説明しても意味がありません。また、数秒かけて簡単に説明を見つけることができます。

そして今、私は次の選好の要素、つまりクライアント側の「ローカルユーザーとグループ」を拡大する時だと思います。

ローカルユーザーとグループのグループポリシー基本設定項目の使用

このクライアント側拡張機能を使用して基本設定項目を作成すると、ローカルユーザーアカウントの作成、名前変更、削除、パスワードの変更とリセット、ユーザーアカウントの無効化、およびその他のアクションを実行できます。 さらに、このCSEの2番目の可能性を見ると、ローカルグループのメンバーシップを作成、名前変更、削除、および変更することもできます。

次の例では、新しいローカルアカウントを作成し、ローカル管理者アカウントのパスワードを変更し、 Administratorsグループに複数のユーザーアカウントを追加するスクリプトを実行します。

これらの各シナリオでは、グループポリシー管理エディターの同じノードを使用するため、ステップバイステップの手順を完了する前に準備手順を実行する必要があります。 これを行うために、グループポリシー管理スナップインで新しいグループポリシーオブジェクトが作成されます。これは、 「Group Policy Preferences-17」などと呼ばれます。 、このGPOはドメイン全体に関連付けられています。 これで、新しく作成されたGPOを選択し、コンテキストメニューからグループポリシー管理エディターを開くだけになります。

シナリオ自体にアクセスできます。

シナリオ1

最初に、新しいアカウントが作成されます。このため、表示されるグループポリシー管理エディターのスナップインで、 コンピューターの構成\設定 \コントロールパネルの設定\ローカルユーザーとグループノード（ コンピューターの構成\設定\コントロールパネルの設定\ローカルユーザーとグループ ）に移動します。 このノードで、詳細ペインのコンテキストメニューを呼び出してから、次の図に示すように、「 作成 」コマンドを選択し、 「ローカルユーザー」 （ 新規> ローカルユーザー）を選択します。





図 1.ローカルユーザーグループポリシー基本設定項目の作成



以前に検討された設定の大部分のプロパティダイアログボックスとは異なり、このダイアログボックスにはさまざまな設定がほぼ完全に入力されていることがすぐにわかります。 これらすべての設定を完全に処理するために、2つの設定要素を作成するプロセスを徐々に試してみましょう。

現在の基本設定項目のアクションの割り当てでは、すべてが言葉なしで明確であると信じています。したがって、ローカルユーザーアカウントは最初のシナリオで作成されるため、[ 作成]アクションが選択されます。 アクションに関して、1つの詳細に注意する必要があります。「 更新 」アクションを選択すると、更新されたアカウントのSIDは変更されませんが、アカウントを置き換える場合、この場合、アカウントが最初に削除されるため、新しいSIDが割り当てられます、そのようなアカウントが作成され、そのプロパティを指定します。 あなたは間違いなくこれに注意を払うべきです。

[ユーザー]ドロップダウンリストでは、既存のアカウントのリストからアカウントを選択できます。これは、既存のアカウントの更新、置換、削除に便利です。または、新しいアカウントを作成するには、新しいユーザーの名前を入力します。そして行われます。 たとえば、 「MBeasley」としましょう。

[ 名前の変更]テキストボックスを使用すると、前のドロップダウンリストで定義されたユーザーアカウントの名前を、現在のテキストボックスに表示される名前に変更できます。 明らかな理由により、このフィールドは「更新」アクションでのみ使用できます。2番目の図ですぐにわかるように、このフィールドは単にブロックされています。

すぐに推測できるように、[ フルネーム]テキストボックスは、作成されるユーザーの名前を入力するためのものです。 ユーザー名をすぐに理解できるように、 「Michael Beasley」と呼びましょう。 [ 説明]テキストボックスで、作成または変更するユーザーに関する追加情報を追加できます。 たとえば、 「新しいアカウント」など、このユーザーについて記述します 。

「 パスワード 」と「 パスワードの確認 」の2つのテキストボックスで、作成または変更するアカウントのパスワードを指定し、もちろん確認する必要があります。 この場合、パスワードの生成を洗練させてはならないことをすぐに警告します。 その理由を説明します。 このパスワードをGPOに設定すると、GPOはSYSVOLパブリックフォルダーに保存されます。 したがって、目的のGPOをローカライズすることで、パスワードを計算できますが、これは決して効果がありません。 ところで、Sergey Marinichevの記事「 もう一度パスワードについて 」で、そのようなパスワードを解読する方法について読むことができます 。 したがって、重要なアカウントのパスワードを変更する場合は、基本設定項目の使用を控え、他の方法でこれを実装してください。 現時点では、テスト目的で使用される標準パスワード、つまりP @ ssw0rdが追加されるだけです。

また、基本設定項目では、[ ユーザーは次回ログオン時にパスワードを変更する必要があります]オプションのチェックボックスがすぐに設定されるため、このボックスをそのままにしておくことをお勧めします。 ユーザーが最初のログインでアカウントのパスワードを変更しても、ユーザーから削除されません。 もちろん、そのようなパスワードがさらに脆弱ではない場合。

次の例では、次のオプションのほとんどすべてを検討します。次に、 「 アカウントが無期限になる 」オプションについて詳しく説明します。 アカウントの有効期間を作成するには、このチェックボックスをオフにして、対応するコントロールコンポーネントで現在のアカウントの有効期限を指定する必要があります。たとえば、ここでは2014年1月21日を示します。 この作成されたユーザーにはターゲティングを追加しませんが、次の例に進みます。 ここで、基本設定項目を維持している間でも、グループポリシー管理エディターはこのパスワードが簡単に検出できることを警告しているという事実に注意を払う価値があります。

次の図に、以前に定義されたすべての設定を含むダイアログボックスを示します。





図 2.新しいローカルユーザーアカウントを作成するためのダイアログボックス

シナリオ2

この例では、ローカル管理者アカウントのパスワードが変更されます。 ご存知のように、基本設定項目を使用して永続的なパスワードを作成することは安全ではありませんが、これはグループポリシーの基本設定の機能を示すためだけに行われます。 ここで、ローカルユーザーの新しい基本設定項目を作成する必要があります。ここで、「 更新 」アクションを選択する必要があります。 次のドロップダウンリストから、ビルトイン管理者アカウントを選択し、次のフィールドに進みます。 下の3番目の図で気付くように、テキストフィールドへの名前変更フィールドは既にデータを入力するために使用可能になっており、これを間違いなく使用します。 たとえば、 「TrueAdmin」でアカウントの名前を変更して先に進みます。

このユーザーのパスワードを変更し、次のオプションの操作を実演するために、「 次回ログオン時に パスワードの 変更が 必要 」オプションのチェックを外します（ ユーザーは次回ログオン時にパスワードを変更する必要があります ）。 ユーザーはシステムに入るときにパスワードを手動で変更する必要がなくなるため、 「 ユーザー はパスワードを変更できません 」オプションと「 パスワードを無期限にする 」オプションが変更可能になりました。 ドメインユーザーアカウントを作成するときにこれらのオプションを既に100回以上使用していますが、（念のため）最初のオプションはユーザーがパスワードを変更できないようにし、自分で指定するまで指定したパスワードで生活する必要があります変更しないでください。2番目は、通常のパスワード変更から制限を削除します。 たとえば、 「 パスワードを無期限にする」オプションのボックスのみをチェックします。

ユーザーアカウント（ゲストアカウントなど）を無効にする必要がある場合は、問題ありません！ あなたがする必要があるのは、オプション「 アカウントを無効にする 」のチェックボックスを選択することです（ アカウントは無効です） 。 また、追加のフィルタリングも作成しませんが、 「OK」をダブルクリックして変更を保存します。





図 3.ビルトイン管理者アカウントを変更する

シナリオ3

最後の3番目の例が残っています。この例では、複数のユーザーアカウントがAdministratorsグループに追加されます。 このタスクを実装するために、現在のノードの2番目のタイプの設定項目である「 ローカルグループ 」（ ローカルグループ ）を使用します。 表示されるダイアログボックスには、スクリプトの最後の図にあるように、それほど多くのパラメーターはありませんが、数分で処理する新しいコントロール要素がいくつかあります。

まず、4つの標準アクションを検討します。ほとんどの場合、当然、新しいアクションを作成したり、既存のローカルグループを削除する必要がない場合は、「 更新 」アクションを使用することをお勧めします。 置換アクションは、ローカルユーザーの設定要素と同様に機能するため、使用する前に、これが必要かどうかを3回考える必要があります。

前の2つの例のように、[ グループ名]ドロップダウンリストで、既存のグループを選択するか、新しいグループを作成できます。 ローカル管理者のグループに複数のユーザーを追加する必要があるため、既存のグループに焦点を当て、グループ「Administrators」を選択します。

既存のグループに新しい名前を付けたい場合は、[ 名前の変更]テキストボックスを利用します。 すべてが美しく設計され、文書化されていれば常に便利です。そのため、対応するテキストボックスにグループの詳細な説明を追加できます。 たとえば、説明に「管理者はローカルコンピュータで完全かつ無制限のアクセス権を持っています」と入力できます 。

ユーザーのすべてのアクションを予測することはできないため、各コンピューターでは、ローカル管理者のグループに何でも含めることができます。 特にこのために、 「このグループのすべてのメンバーユーザーを 削除する 」 （ すべてのメンバーユーザーを削除する ）と「このグループの すべてのメンバーグループを削除する 」 （ すべてのメンバーグループ を 削除する ）の2つの素晴らしいオプションがあります。 最初のパラメーターを使用して、このグループに属するすべてのユーザーアカウントを削除します。2番目のパラメーターを使用すると、すべてのグループを削除できます。 当然、この設定要素で構成されたメンバーが追加される前に、最初と2番目のオプションの両方が機能します。

新しいユーザーアカウントとグループアカウントを追加するには、最も低いコントロール、つまりGroup Membersパラメーターgroupを使用する必要があります。 このグループにはローカル管理者とドメイン管理者の両方が含まれている必要があるため、適切なチェックボックスを使用してアカウントを削除した場合は、 追加ボタンをクリックし、対応するテキストフィールドに「Builtin \ Administrator」と入力します。 「OK」ボタンをクリックします 。 TrueAdminでこれらの手順を繰り返してから、ドメイン管理者を追加します。 対応するリストからこのグループを選択するか、F3キーを押して％DomainName％変数を使用し、グループ名、つまりDomain Adminsを指定してから、行ったすべての変更を保存できます。 次の図に、このダイアログボックスが表示されます。





図 4.管理者のローカルグループのメンバーシップの変更

必要な基本設定項目をすべて作成したら、残りのグループポリシー管理エディターを閉じて、ターゲットコンピューターのグループポリシー設定を更新できます。

おわりに

この記事では、ローカルユーザーアカウントとグループアカウントを操作できるグループポリシーの基本設定の次の要素について学習しました。 編集可能なローカルユーザーアカウントを調べ、最初の2つのシナリオでは、これらの要素を使用して新しいローカルユーザーアカウントを作成および変更する例を示しました。

また、この記事では、グループポリシー設定のこれらの要素をローカルグループと組み合わせて使用​​する例を示しました。これにより、既存のローカルAdministratorsグループのメンバーシップを変更できます。 これらの設定を操作する際の最も重要なことは、パスワードを変更する機能を使用する際には注意が必要であることを覚えておくことです。