グループポリシーオブジェクト(GPO;Group Policy Object)を使うと、ユーザもしくはマシンに各種の制約・規制を設けることができる。
一応、samba-tool に gpoサブコマンド で設定はできそうだが、samba/リモートサーバ管理ツールの
GUIツール「グループポリシーの管理」を使ってドメインにGPOを敷設してみる。
*複数台のDCで運用するならsamba/GPO/rsync
設定の流れは、
1.グループポリシーオブジェクトを作成する
2.リンクを作る
で行う。これが一般的な方法なのかも
この「リンク」は ドメイン全体 へだったり、特定の組織単位(OU)だったりする。
xpマシンを集めたOUとして sybyl.local/xp を対象にとか、修士を集めたOUとして sybyl.local/修士 とか
GPO付与の方法は、[スタート]-[コントロールパネル]-[管理ツール]-[グループポリシーの管理]を起動させ、
左ツリーを展開させ、「グループポリシーオブジェクト」を選択して、メニューの「操作」から「新規」を選択します。
作成するGPOの名称を付与して、「OK」ボタンをクリックします。
*設定内容は後述
作ったグループポリシーオブジェクトをディレクトリツリーの特定箇所に適用させます。
同じく[グループポリシーの管理]からGPOを適用させたい場所を選択して、メニューの「操作」から「既存のGPOのリンク..」を選びます。
表示された「GPOの選択」画面にて作成したGPOのドメインを選択して、その適用したいグループポリシーオブジェクトを指定します。
*ドメインの選択は、別のドメインで作成したグループポリシーオブジェクトを利用可能にする
XPマシンを集めた組織単位(OU)(windows XP machine)にGPOを割り当てたい場合は、
組織単位(OU)のwindows XP machineを選択して、右クリックから「既存のGPOのリンク..」を選びます。
そして、表示された「GPOの選択」画面にて、このドメイン(sybyl.local)で作成したXPマシン向け
グループポリシーオブジェクト(xpマシン)を選択して「OK」ボタンを押下する。
ログインスクリプトsamba/GPO/ログインスクリプト
フォルダリダイレクトsamba/GPO/フォルダリダイレクト
プロキシ
*GPOの中にプロキシ設定の項目が無くなっている。ログインスクリプトでコマンドベースでするしかないみたい
どのようなグループポリシーオブジェクトが適用されているかは、コマンドプロンプトの
C:\> gpresult /z
にて確認ができる。
また「コンピュータの構成」部分は下記で確認できる
C:\> gpresult /scope:computer
samba AD二台体制で運用していたらログオンスクリプトを実行するGPOが働かない事態に陥った。。
C:\> gpresult /h gp.html
とかしてログを書き出せたら、
次のエラーのため Scripts に失敗しました。
セキュリティ ID の構造が無効です。
とあった。調べても良く分からない。
なので回避策としてログオンスクリプトを用意してみた。
特定ユーザだけGPOを適用させたく「セキュリティーフィルタ処理」から「Authenticated Users」を外したらGPO自体が読まれなくなった