こんにちは、Habr! それはグループポリシーとセキュリティフィルタリングについてです。 ドメインのサイズ、その論理構造、およびOUの数に応じて、セキュリティフィルターツールは非常に役立ちます。
セキュリティフィルタリングを使用すると、ポリシーをドメインのルートに配置してフィルターを適用することで、異なるOUにあるユーザーまたはPCにポリシーを適用できます。
フィルタリングの一般的なタスクは、ネットワークフォルダーとプリンターのマウントです。 しかし、プリンターとフォルダーでは、すべてがあなたの想像力で始まり、終わります。
猫の下で、個々のユーザー/グループにグループポリシーを適用する方法、およびセキュリティフィルターを使用しているときにポリシーが機能しない場合に何を探すべきかを読んでください。
フィルタリングメカニズムは単純です。[セキュリティフィルタリング]タブでは、ポリシーが適用されるグループが示されます。デフォルトでは、ポリシーはAuthenticated Usersグループに適用されます。 Authenticated Usersグループを削除し、ポリシーを適用するユーザーグループまたはPCを指定します。
問題と診断について
更新プログラムをインストールした後、一部のポリシーが機能しなくなりました。
最初に気づいたのは、ユーザーにネットワークドライブをマウントしたポリシーが機能しなくなったことです。 長い間、アイテムレベルのターゲティングツールでこの問題を理解せずに解決し、セキュリティフィルター設定で標準の認証済みユーザーグループを返しました。
アイテムレベルのターゲティングは、グループポリシーの設定にのみ使用できるため、すべての場合に適用できるわけではありません。
その理由は何ですか?
グループポリシー結果ウィザードを実行すると、アクセスできないエラーのためにセキュリティフィルターを含むポリシーが適用されなかったことがわかります。
GROUP POLICY CENTRALでソリューションを見つけました。これはグループポリシー専用の優れたリソースであり、セキュリティフィルタリングに関する2つの記事があります。
グループポリシーオブジェクトを個々のユーザーまたはコンピューターに適用する方法
Alan Burchillが2010年5月26日に投稿
グループポリシーオブジェクトから個々のユーザーまたはコンピューターを除外する方法
Alan Burchillが2010年5月19日に投稿
著者は、Authenticated Usersグループをセキュリティフィルターから削除できないと書いており、フィルターにGPO委任の[詳細設定]タブを使用することを推奨しています。 また、このポリシーは機能すると言われていますが、マイクロソフトはその更新にますます驚いています。
ただし、これを行うことは絶対にしないでください。これにより、ドメイン管理者以外のユーザーに対して、グループポリシー管理コンソールのグループポリシーオブジェクトに「アクセス不能」エラーメッセージが表示される可能性があります。 これは、ユーザーがコンテンツGPOを読み取る機能を削除したために発生しますが、ポリシーがそのユーザーに適用されることを意味するわけではありません。
Usersグループの読み取り専用権限を委任することにしました。
グループポリシーの結果を確認します。ポリシーが適用され、正常に読み取られます。
ユーザーをグループから除外すると、拒否の理由はアクセス拒否(セキュリティフィルター)になり、すべてが意図したとおりに機能します。
Microsoft Security Filteringの問題について彼らが書いたものは次のとおりです。
Microsoftの同僚は、Authenticated UsersまたはDomain Computersグループに読み取り権限を与える必要があると書いています。
MS16-072:グループポリシーのセキュリティ更新プログラム:2016年6月14日
症状
ユーザーアカウントまたはセキュリティグループ、あるいはその両方でセキュリティがフィルター処理されたものを含むすべてのユーザーグループポリシーは、ドメインに参加しているコンピューターに適用できない場合があります。
原因
この問題は、グループポリシーオブジェクトにAuthenticated Usersグループの読み取りアクセス許可がない場合、またはセキュリティフィルターを使用していてドメインコンピューターグループの読み取りアクセス許可がない場合に発生する可能性があります。
解像度
この問題を解決するには、グループポリシー管理コンソール(GPMC.MSC)を使用して、次のいずれかの手順を実行します。
-グループポリシーオブジェクト(GPO)の読み取りアクセス許可を持つAuthenticated Usersグループを追加します。
-セキュリティフィルタリングを使用している場合は、読み取り権限を持つDomain Computersグループを追加します。
MS16-072の詳細な分析は、オタク誌に既に掲載されています-すばらしい記事
更新MS16-072はグループポリシーに違反します。 それをどうしますか?
Vital Koshalewが2016年6月27日に投稿
より経験豊富な同僚は、ドメインスキーマの変更を提案しています。 興味深い解決策ですが、私にとっては、GPOのセキュリティを構成する手に問題はありません。
ユーザーの除外に関するいくつかの言葉。
これは、ポリシーの対象からユーザーまたはPCを除外する必要がある場合に最適なツールです。
例:ターミナルサーバーでのこのようなポリシーは、Windowsエクスプローラーでローカルユーザーのローカルディスクから隠します。 ポリシーは標準のAuthenticated Usersグループに適用され、Administratorsグループのセキュリティ設定で、Deny権限をAllow Applyグループポリシーに割り当てます。
これは、管理者が自動的にAuthenticated Usersグループのメンバーであるため、ポリシーをデフォルトのAuthenticated Usersグループに適用する必要があり、すべてのユーザーに自動的に適用するためです。
PSこの記事がお役に立てば幸いです。
PPS
この記事は、主に経験の浅い初心者のドメイン管理者を対象としています。 タスクまたは問題を解決する方法は、あなただけの責任です。 Users、Authenticated Users、Domain Computersグループを使用するか、ドメインスキームを変更します。これはあなたの意識的な決定です。 あなたは何をしているのか、なぜ、そして何かがうまくいかなかった場合にどこを見るべきかを理解しなければなりません。