AD環境におけるグループポリシー
”Default Domain Policy”と"Default Domain Controllers Policy"とOUポリシー、およびローカルコンピュータのポリシーがあります。
”Default Domain Policy”
ADを構築した際に全体に適用されるポリシー。ドメインに紐づいていて、デフォルトで以下セキュリティの設定が入っています。
・アカウント ポリシー/パスワードのポリシー
・アカウント ポリシー/アカウント ロックのポリシー
・アカウント ポリシー/Kerberos ポリシー
・ローカル ポリシー/セキュリティ オプション
・公開キーのポリシー/ファイルシステムの暗号化
これらの設定はGPOの設定遷移でいうと、
[コンピュータの構成]→[ポリシー]→[Windowsの設定]→[セキュリティの設定]のことです。
”Default Domain Controllers Policy”
ドメインコントローラに紐づくポリシー。
"OUポリシー"
OU(組織単位)を作成して紐づけられるポリシー。
"ローカルポリシー"
各クライアントコンピュータのローカルポリシー。[gpedit.msc]から参照できます。
それぞれのポリシーにリンクされたGPOの定義は累積的に適用されますが、設定が競合した場合に優位性があります。
ポリシーの優位順
"OUポリシー" ="Default Domain Controllers Policy" →”Default Domain Policy” →"ローカルコンピュータのポリシー"
ただ"アカウントポリシー"の設定のみは特殊で、”Default Domain Policy”が最強であり、OUで個別に設定しても反映されないようです。
https://www.atmarkit.co.jp/ait/articles/1606/10/news019.html
検証
・アカウント ポリシー/パスワードのポリシーをそれぞれのポリシーで設定し、各コンピュータで反映させてみてみます。
”Default Domain Policy”
パスワードの長さ:4文字
パスワードの変更禁止期間:1日
パスワードの有効期限:42日
”Default Domain Controllers Policy”
パスワードの長さ:0文字
パスワードの変更禁止期間:0日
パスワードの有効期限:0日
”OUのポリシー”
パスワードの長さ:0文字
パスワードの変更禁止期間:0日
パスワードの有効期限:0日
ちなみにローカルのポリシーはグレーアウトがかかっていて設定できません。
・ドメインコントローラ―、OUに所属するクライアントコンピュータにログインして、以下コマンドを実行。
gpupdate /force
で反映
gpresult /H C:\policy.html
でポリシーの適用状況をHTML形式でわかりやすく出力。
結果
”Default Domain Controllers Policy”
設定したポリシーが効いておらず、Default Domain Policyが優勢になっています。
"OU のポリシー"
・・・・・アレ??
普通にOUが優勢になってませんかこれ??
OUのみ例外がある
唯一の例外は、組織単位 (OU) に対して別のアカウントポリシーが定義されている場合です。
OU のアカウントポリシー設定によって、OU に含まれるすべてのコンピューターのローカルポリシーが影響を受けます。
たとえば、OU ポリシーで定義されているパスワードの有効期限がドメインレベルのアカウントポリシーとは異なる場合は、
ユーザーがローカルコンピューターにログオンしたときにのみ OU ポリシーが適用されます。
既定のローカルコンピューターポリシーは、ワークグループ内のコンピューター、
または OU アカウントポリシーまたはドメインポリシーが適用されていないドメイン内のコンピューターにのみ適用されます。
OUに所属しているコンピュータにローカルユーザーでログインした場合のみかわるってこと??
で、OU所属していないorドメイン参加していないのコンピュータではローカルポリシーが適用されますよと。
net accounts コマンドで確認すると、たしかに異なっている。。
ちなみに、"パスワード無期限"設定では、
ドメインユーザーは「ユーザーとコンピュータ」のユーザプロパティから、
ローカルユーザーは「コンピュータの管理」→「ローカルユーザとグループ」のユーザプロパティからチェックを入れるのが一番強いです。
以上。