&color(darkgreen){グループポリシーオブジェクト};(&color(magenta){GPO};;Group Policy Object)を使うと、ユーザもしくはマシンに各種の制約・規制を設けることができる。

一応、samba-tool に gpoサブコマンド で設定はできそうだが、[[samba/リモートサーバ管理ツール]]の
GUIツール「&color(mediumvioletred){グループポリシーの管理};」を使ってドメインに&color(magenta){GPO};を敷設してみる。

&color(red){*};&size(10){複数台のDCで運用するなら[[samba/GPO/rsync]]};

***手順 [#ab6c0b53]
設定の流れは、
1.&color(darkgreen){グループポリシーオブジェクト};を作成する
2.&color(crimson){リンク};を作る
で行う。&size(10){これが一般的な方法なのかも};
この「&color(crimson){リンク};」は ドメイン全体 へだったり、特定の&color(orangered){組織単位(OU)};だったりする。
&size(10){xpマシンを集めたOUとして sybyl.local/xp を対象にとか、修士を集めたOUとして sybyl.local/修士 とか};

***&color(darkgreen){グループポリシーオブジェクト};の作成 [#n9e3f3bc]
&color(magenta){GPO};付与の方法は、[スタート]-[コントロールパネル]-[管理ツール]-[グループポリシーの管理]を起動させ、
左ツリーを展開させ、「&color(darkgreen){グループポリシーオブジェクト};」を選択して、メニューの「操作」から「新規」を選択します。
&ref(2015y12m27d_192535575.png,nolink);&ref(2015y12m27d_192613589.png,nolink);
作成する&color(magenta){GPO};の名称を付与して、「OK」ボタンをクリックします。
&ref(2015y12m27d_192840879.png,nolink);
&color(red){*};&size(10){設定内容は後述};

***&color(crimson){リンク};を作る [#e83a0a57]
作った&color(darkgreen){グループポリシーオブジェクト};をディレクトリツリーの特定箇所に適用させます。

同じく[グループポリシーの管理]から''&color(magenta){GPO};を適用させたい場所''を選択して、メニューの「操作」から「既存のGPOのリンク..」を選びます。
&ref(2015y12m27d_193224903.png,nolink);&ref(2015y12m27d_193317932.png,nolink);
表示された「GPOの選択」画面にて作成した&color(magenta){GPO};のドメインを選択して、その''適用したい''&color(darkgreen){グループポリシーオブジェクト};を指定します。
&ref(2015y12m27d_193556753.png,nolink);
&color(red){*};&size(10){ドメインの選択は、別のドメインで作成した&color(darkgreen){グループポリシーオブジェクト};を利用可能にする};


XPマシンを集めた&color(orangered){組織単位(OU)};(windows XP machine)に&color(magenta){GPO};を割り当てたい場合は、
&color(orangered){組織単位(OU)};のwindows XP machineを選択して、右クリックから「既存のGPOのリンク..」を選びます。
&ref(2015y12m29d_031411229.png,nolink);
そして、表示された「GPOの選択」画面にて、このドメイン(sybyl.local)で作成したXPマシン向け
&color(darkgreen){グループポリシーオブジェクト};(xpマシン)を選択して「OK」ボタンを押下する。
&ref(2015y12m29d_031524957.png,nolink);

***&color(darkgreen){グループポリシーオブジェクト};作成例 [#k89b73eb]

ログインスクリプト[[samba/GPO/ログインスクリプト]]
フォルダリダイレクト[[samba/GPO/フォルダリダイレクト]]
プロキシ
&color(red){*};&size(10){&color(magenta){GPO};の中にプロキシ設定の項目が無くなっている。ログインスクリプトでコマンドベースでするしかないみたい};

***メモ [#ec98b292]
どのような&color(darkgreen){グループポリシーオブジェクト};が適用されているかは、コマンドプロンプトの
#code(nonumber){{
C:\> gpresult /z
}}
にて確認ができる。
また「コンピュータの構成」部分は下記で確認できる
#code(nonumber){{
C:\> gpresult /scope:computer
}}

[[samba/GPO/適用範囲]]


***エラー [#t56e3d4b]
samba AD二台体制で運用していたらログオンスクリプトを実行するGPOが働かない事態に陥った。。
#code(nonumber){{
C:\> gpresult /h gp.html
}}
とかしてログを書き出せたら、
#code(nonumber){{
次のエラーのため Scripts に失敗しました。

セキュリティ ID の構造が無効です。 
}}
とあった。調べても良く分からない。
なので回避策としてログオンスクリプトを用意してみた。

***エラー その2 [#pcca2e2d]
特定ユーザだけGPOを適用させたく「セキュリティーフィルタ処理」から「Authenticated Users」を外したらGPO自体が読まれなくなった
&ref(2016y08m10d_014528204.png,nolink);

トップ   編集 添付 複製 名前変更     ヘルプ   最終更新のRSS