ActiveDirectory セキュリティポリシー

スポンサーリンク

ドメイン内のサーバーやコンピュータにはいくつかのセキュリティポリシーが適用されます。1つのセキュリティポリシーではない為、仕組みが分かりづらいと思う方もいらっしゃるようです。ここではドメイン内のサーバー、コンピュータに適用されるセキュリティポリシーについて詳しく解説していきます。 

初めにドメイン内のセキュリティポリシーの動作仕様について要約します。 

  1. 各コンピュータ/サーバーには、いくつかのポリシーが定義されたローカルセキュリティポリシーが存在し、これは必ず適用される。
  2. 次にドメインセキュリティポリシーが適用される。ローカルセキュリティポリシーと競合する項目はドメインGPOが優先適用される。
  3. ドメインGPOで初期設定されているのは主に「アカウントポリシー ( パスワードポリシー/アカウントロックアウトのポリシー/Kerberosポリシー )」である。
  4. アカウントポリシーはドメインにリンクしたGPO以外では定義できない。 ( OUで定義しても無視される )
  5. つまりドメインに参加しているコンピュータでは、主にアカウントポリシー以外はローカルセキュリティポリシーで定義されている 。
  6. その為これらはクライアントコンピュータでも変更可能だが、ポリシーはドメイン又はOUのGPOで一括して定義 ・管理することが望ましい。


■まず各コンピュータのセキュリティポリシーが適用される


ドメインコントローラを含むサーバーやクライアントコンピュータにはそれぞれローカルセキュリティポリシー ( =ローカルグループポリシーオブジェクトのセキュリティ設定部分 ) が定義されており、これが必ず最初に適用されます。 ( LGPOの適用 )
 



ローカルセキュリティポリシーには予め「アカウントポリシー」や「ユーザー権利の割り当て」「セキュリティオプション」など、PCを使う上で必要なセキュリティが定義されています。ローカルセキュリティポリシーを確認するには、「ファイル名を指定して実行」から「secpol.msc」と入力してEnterキーを押すか、「管理ツール」-「ローカルセキュリティポリシー」をクリックします。


■次に既定のドメインセキュリティポリシーが適用

ドメインに参加したコンピュータには、次に既定のドメインセキュリティポリシー ( =既定のドメインGPO(Default Domain Policy ) – 「コンピュータの構成」-「Windowsの設定」-「セキュリティの設定」の部分」が適用されます。



LGPO ( ローカルグループポリシー ) は、ドメイングループポリシーに上書きされるため、バッティングするセキュリティポリシーがあった場合は最初に適用されたローカルセキュリティポリシーの定義内容は無効となります。既定のドメインセキュリティポリシーには、予め「アカウントポリシー ( パスワード・アカウントロックアウト・Kerberos ) 」が定義されています。このアカウントポリシーはドメイン全体に適用されます。 

尚、既定のドメインセキュリティポリシーには他の設定 ( ユーザー権利の割り当て等 ) は殆ど定義されていません。ですからこのGPOやOUで任意のセキュリティポリシーを定義しない限り、各クライアントコンピュータには自身のローカルセキュリティポリシーの設定が適用されます。つまり既定ではドメインGPOで定義されるアカウントポリシー以外は、ローカルセキュリティポリシーで定義されています。


■ドメインコントローラのセキュリティポリシー


ドメインコントローラはDomain Controllers OUに属しており、このOUにリンクしている既定のDC GPO ( Default Domain Controllers Policy ) のセキュリティ設定 ( =ドメインコントローラセキュリティポリシー ) が適用されます。OUにリンクされたGPOは最強であるため、ドメインセキュリティポリシーよりドメインコントローラセキュリティポリシーが優先適用されることになります。



ドメインコントローラセキュリティポリシーで予め定義されているのは、「ローカルポリシー ( 監査ポリシー、ユーザー権利の割り当て、セキュリティオプション ) 」です。



「アカウントポリシー」はDCのGPOには定義されていません。「アカウントポリシー」はドメイン内で一意であるため、既定のドメインGPO ( ドメインリンクのGPO ) でしか定義でき ないのです。OUのGPOのアカウントポリシーは無視されます。

スポンサーリンク

シェアする

  • このエントリーをはてなブックマークに追加

フォローする