今更ながら「制限されたグループ」の制御に関してまとめておきます。GPOの制御において、この「制限されたグループ」を使用することによってADのGPOの便利さを堪能できると思われます。
シナリオ
Fabrikam(という企業)のヘルプデスクの役割が今までは電話対応のみでしたが、今後はリモートデスクトップや、現地での作業も行うことになりました。よって、クライアントのローカルの「administrators」グループのメンバーとして、「GG_HelpDesk(グローバルグループ)」を追加する必要があります。
パターン1
Fabrikamではユーザーに対してローカルのadministrators権限を付与することによって、ユーザーに対して自由にコンピューターの管理を行ってもらっています。よって、現在のadministratorsのメンバー情報はそのままに、「GG_HelpDesk」を追加する必要があります。
パターン2
Fabrikamではユーザーに対してローカルのadministrators権限を付与することはしません。あくまでも、情報システム部主体でコンピューターの管理を行います。よって、ローカルのadministratorsのメンバーは情報システムが把握したメンバーとなります。
ローカルのadministratorsグループに対して、ドメインのグループを追加する方法としては、各クライアントにログインして手作業で行うことも可能ですが、こんな時こそGPOを活用します。
予め、「User01」、「GG_HelpDesk」は作成済みです。
まず、OUを作成し、そのOUに対象となるクライアントを移動します。そしてGPOを作成します。今回の例としては、Client OU を作成し、Win7-01 というクライアントオブジェクトをClient OU 配下に移動しました。そして、Restricted Group GPO を作成しました。
[Restricted Group GPO]の編集をクリックし、[制限されたグループ]の[グループの追加]を選択します。
現在のクライアントのローカルのadministratorsグループは
このような状態で、ドメインのユーザーである「FabrikamUser01」も[administrators]のメンバーとなっています。
パターン1の場合は
グループの追加で「FabrikamGG_HelpDesk」を追加して、このグループの所属に「administrators」を追加します。
クライアントのローカルのadministratorsグループは
このようになります。
ではパターン2の場合はというと
グループの追加で「administrators」を追加して、このグループのメンバーにローカルのadministratorsグループメンバーとして登録したいメンバー全てを追加します。ここで例外として、administratorだけは指定しなくても追加されます。
クライアントのローカルのadministratorsグループは
このように、「制限されたグループ」によって追加されたメンバーのみが入っていることになります。
*クライアントの再起動でもなかなかうまくGPOが反映されないことがあります。そのような場合はコマンドプロンプトより「gpupdate /force」をたたきましょう。