グループポリシーオブジェクト(GPO;Group Policy Object)を使うと、ユーザもしくはマシンに各種の制約・規制を設けることができる。

一応、samba-tool に gpoサブコマンド で設定はできそうだが、samba/リモートサーバ管理ツール
GUIツール「グループポリシーの管理」を使ってドメインにGPOを敷設してみる。

*複数台のDCで運用するならsamba/GPO/rsync

手順

設定の流れは、
1.グループポリシーオブジェクトを作成する
2.リンクを作る
で行う。これが一般的な方法なのかも
この「リンク」は ドメイン全体 へだったり、特定の組織単位(OU)だったりする。
xpマシンを集めたOUとして sybyl.local/xp を対象にとか、修士を集めたOUとして sybyl.local/修士 とか

グループポリシーオブジェクトの作成

GPO付与の方法は、[スタート]-[コントロールパネル]-[管理ツール]-[グループポリシーの管理]を起動させ、
左ツリーを展開させ、「グループポリシーオブジェクト」を選択して、メニューの「操作」から「新規」を選択します。
2015y12m27d_192535575.png2015y12m27d_192613589.png
作成するGPOの名称を付与して、「OK」ボタンをクリックします。
2015y12m27d_192840879.png
*設定内容は後述

リンクを作る

作ったグループポリシーオブジェクトをディレクトリツリーの特定箇所に適用させます。

同じく[グループポリシーの管理]からGPOを適用させたい場所を選択して、メニューの「操作」から「既存のGPOのリンク..」を選びます。
2015y12m27d_193224903.png2015y12m27d_193317932.png
表示された「GPOの選択」画面にて作成したGPOのドメインを選択して、その適用したいグループポリシーオブジェクトを指定します。
2015y12m27d_193556753.png
*ドメインの選択は、別のドメインで作成したグループポリシーオブジェクトを利用可能にする

XPマシンを集めた組織単位(OU)(windows XP machine)にGPOを割り当てたい場合は、
組織単位(OU)のwindows XP machineを選択して、右クリックから「既存のGPOのリンク..」を選びます。
2015y12m29d_031411229.png
そして、表示された「GPOの選択」画面にて、このドメイン(sybyl.local)で作成したXPマシン向け
グループポリシーオブジェクト(xpマシン)を選択して「OK」ボタンを押下する。
2015y12m29d_031524957.png

グループポリシーオブジェクト作成例

ログインスクリプトsamba/GPO/ログインスクリプト
フォルダリダイレクトsamba/GPO/フォルダリダイレクト
プロキシ
*GPOの中にプロキシ設定の項目が無くなっている。ログインスクリプトでコマンドベースでするしかないみたい

メモ

どのようなグループポリシーオブジェクトが適用されているかは、コマンドプロンプトの

C:\> gpresult /z

にて確認ができる。
また「コンピュータの構成」部分は下記で確認できる

C:\> gpresult /scope:computer

samba/GPO/適用範囲

エラー

samba AD二台体制で運用していたらログオンスクリプトを実行するGPOが働かない事態に陥った。。

C:\> gpresult /h gp.html

とかしてログを書き出せたら、

次のエラーのため Scripts に失敗しました。
 
セキュリティ ID の構造が無効です。

とあった。調べても良く分からない。
なので回避策としてログオンスクリプトを用意してみた。

エラー その2

特定ユーザだけGPOを適用させたく「セキュリティーフィルタ処理」から「Authenticated Users」を外したらGPO自体が読まれなくなった
2016y08m10d_014528204.png


トップ   編集 添付 複製 名前変更     ヘルプ   最終更新のRSS
Last-modified: 2016-08-10 (水) 01:47:28 (345d)