制限されたグループの制御に関して

今更ながら「制限されたグループ」の制御に関してまとめておきます。GPOの制御において、この「制限されたグループ」を使用することによってADのGPOの便利さを堪能できると思われます。

シナリオ

Fabrikam(という企業)のヘルプデスクの役割が今までは電話対応のみでしたが、今後はリモートデスクトップや、現地での作業も行うことになりました。よって、クライアントのローカルの「administrators」グループのメンバーとして、「GG_HelpDesk(グローバルグループ)」を追加する必要があります。

パターン1

Fabrikamではユーザーに対してローカルのadministrators権限を付与することによって、ユーザーに対して自由にコンピューターの管理を行ってもらっています。よって、現在のadministratorsのメンバー情報はそのままに、「GG_HelpDesk」を追加する必要があります。

パターン2

Fabrikamではユーザーに対してローカルのadministrators権限を付与することはしません。あくまでも、情報システム部主体でコンピューターの管理を行います。よって、ローカルのadministratorsのメンバーは情報システムが把握したメンバーとなります。

ローカルのadministratorsグループに対して、ドメインのグループを追加する方法としては、各クライアントにログインして手作業で行うことも可能ですが、こんな時こそGPOを活用します。

予め、「User01」、「GG_HelpDesk」は作成済みです。

WS000000

まず、OUを作成し、そのOUに対象となるクライアントを移動します。そしてGPOを作成します。今回の例としては、Client OU を作成し、Win7-01 というクライアントオブジェクトをClient OU 配下に移動しました。そして、Restricted Group GPO を作成しました。

WS000001

[Restricted Group GPO]の編集をクリックし、[制限されたグループ]の[グループの追加]を選択します。

現在のクライアントのローカルのadministratorsグループは

WS000000

このような状態で、ドメインのユーザーである「FabrikamUser01」も[administrators]のメンバーとなっています。

パターン1の場合は

WS000003

グループの追加で「FabrikamGG_HelpDesk」を追加して、このグループの所属に「administrators」を追加します。

クライアントのローカルのadministratorsグループは

WS000001

このようになります。

ではパターン2の場合はというと

WS000004

グループの追加で「administrators」を追加して、このグループのメンバーにローカルのadministratorsグループメンバーとして登録したいメンバー全てを追加します。ここで例外として、administratorだけは指定しなくても追加されます。

クライアントのローカルのadministratorsグループは

WS000002

このように、「制限されたグループ」によって追加されたメンバーのみが入っていることになります。

*クライアントの再起動でもなかなかうまくGPOが反映されないことがあります。そのような場合はコマンドプロンプトより「gpupdate /force」をたたきましょう。

スポンサーリンク
レクタングル(大)広告
レクタングル(大)広告
  • このエントリーをはてなブックマークに追加

コメントをどうぞ

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です


*