環境
WindowsServer2019
Windows10
ドメインの機能レベル Windows Server 2016
ドメイン参加Client管理
ドメイン参加したClientマシンに対してポリシーを適用する
GPO作成・適用
WindowsServerのサーバマネージャダッシュボードの「ツール」→「グループポリシーの管理」を開く。
「グループポリシーオブジェクト」を右クリック→「新規」クリックして名前入力フォームが表示されるので入力してOKをするとグループポリシーオブジェクト配下にGPOが出力される。
GPOを適用したいOUを右クリック→「既存のGPOのリンク」→OUに適用したいグループポリシーオブジェクトを選択してOKをクリック。
OU配下にGPOを適用
グループポリシー更新の強制
更新したいポリシーが適用されたOUを右クリック→「グループポリシーの更新」→「はい」を選択。
成功と出力されればOK。閉じるをクリック。
Client側からグループポリシー更新を強制させたい場合は以下のCMDをターミナルで叩く。
C:¥>gpupdate /force
グループポリシーが更新されない
グループポリシーを更新した時「リモートプロシージャコールに失敗しました」と失敗判定なるのは、リモート更新がFWによってブロックされていることが原因。
以下の3つを許可するFW定義をClient側で作成。(DC側のGPOにFW許可定義作成して更新することも可能だが、実行しても時間を要する。Client側で実行する方が確実)
- Windows Management Instrumentation(WMI受信)
- スケジュールされたリモートタスク管理(RPC)
- スケジュールされたリモートタスク管理(RPC-EPMAP)
ポリシーの優先順位も考慮しないといけない。
以下のキャプチャの場合、GPO:RPC関連許可の定義したポリシーが優先される。
Client側でGPO更新確認
C:\Windows\System32にある「rsop」を管理者権限で開く。
以下のフォームで確認する
挙動確認
左側がDCでGPOのロックアウトポリシーを設定して更新したキャプチャで右がClient側でrsopを確認しているキャプチャ。Client側にGPOが適用されていることが分かる。
Active Directory管理センターで設定
グループポリシーの管理で設定がClient側に更新されても期待した動作にならない場合、Active Directory管理センターで設定されたポリシーが優先されている場合がある。
以下のURLを参考にロックアウトポリシーをActiveDirectory管理センターで設定。
ロックアウトされた挙動を確認。
ドメインユーザー管理
ドメイン参加しているユーザーを対象にドメインユーザーがClientマシンへのログオンを制限する仕組み
ユーザー設定
サーバーマネージャーダッシュボードから「ツール」→「Active Directory ユーザーとコンピュータ」を開ける。
ドメインをプルダウンしてユーザーオブジェクトが入ったOUをクリック→ユーザーを右クリックして
→「プロパティ」→「アカウント」をクリックするとログイン制限のフォームになるので、ログオン時間を制限してみた。設定完了すると適用クリック。更新する動作は必要無い。
挙動確認
土曜日に東西南北(ユーザー)がClientマシンにログオンしようとしたので、拒否されている。
