ドメイン内のサーバーやコンピュータにはいくつかのセキュリティポリシーが適用されます。1つのセキュリティポリシーではない為、仕組みが分かりづらいと思う方もいらっしゃるようです。ここではドメイン内のサーバー、コンピュータに適用されるセキュリティポリシーについて詳しく解説していきます。
初めにドメイン内のセキュリティポリシーの動作仕様について要約します。
- 各コンピュータ/サーバーには、いくつかのポリシーが定義されたローカルセキュリティポリシーが存在し、これは必ず適用される。
- 次にドメインセキュリティポリシーが適用される。ローカルセキュリティポリシーと競合する項目はドメインGPOが優先適用される。
- ドメインGPOで初期設定されているのは主に「アカウントポリシー ( パスワードポリシー/アカウントロックアウトのポリシー/Kerberosポリシー )」である。
- アカウントポリシーはドメインにリンクしたGPO以外では定義できない。 ( OUで定義しても無視される )
- つまりドメインに参加しているコンピュータでは、主にアカウントポリシー以外はローカルセキュリティポリシーで定義されている 。
- その為これらはクライアントコンピュータでも変更可能だが、ポリシーはドメイン又はOUのGPOで一括して定義 ・管理することが望ましい。
■まず各コンピュータのセキュリティポリシーが適用される
ドメインコントローラを含むサーバーやクライアントコンピュータにはそれぞれローカルセキュリティポリシー ( =ローカルグループポリシーオブジェクトのセキュリティ設定部分 ) が定義されており、これが必ず最初に適用されます。 ( LGPOの適用 )
ローカルセキュリティポリシーには予め「アカウントポリシー」や「ユーザー権利の割り当て」「セキュリティオプション」など、PCを使う上で必要なセキュリティが定義されています。ローカルセキュリティポリシーを確認するには、「ファイル名を指定して実行」から「secpol.msc」と入力してEnterキーを押すか、「管理ツール」-「ローカルセキュリティポリシー」をクリックします。
■次に既定のドメインセキュリティポリシーが適用
ドメインに参加したコンピュータには、次に既定のドメインセキュリティポリシー ( =既定のドメインGPO(Default Domain Policy ) – 「コンピュータの構成」-「Windowsの設定」-「セキュリティの設定」の部分」が適用されます。
LGPO ( ローカルグループポリシー ) は、ドメイングループポリシーに上書きされるため、バッティングするセキュリティポリシーがあった場合は最初に適用されたローカルセキュリティポリシーの定義内容は無効となります。既定のドメインセキュリティポリシーには、予め「アカウントポリシー ( パスワード・アカウントロックアウト・Kerberos ) 」が定義されています。このアカウントポリシーはドメイン全体に適用されます。
尚、既定のドメインセキュリティポリシーには他の設定 ( ユーザー権利の割り当て等 ) は殆ど定義されていません。ですからこのGPOやOUで任意のセキュリティポリシーを定義しない限り、各クライアントコンピュータには自身のローカルセキュリティポリシーの設定が適用されます。つまり既定ではドメインGPOで定義されるアカウントポリシー以外は、ローカルセキュリティポリシーで定義されています。
■ドメインコントローラのセキュリティポリシー
ドメインコントローラはDomain Controllers OUに属しており、このOUにリンクしている既定のDC GPO ( Default Domain Controllers Policy ) のセキュリティ設定 ( =ドメインコントローラセキュリティポリシー ) が適用されます。OUにリンクされたGPOは最強であるため、ドメインセキュリティポリシーよりドメインコントローラセキュリティポリシーが優先適用されることになります。
ドメインコントローラセキュリティポリシーで予め定義されているのは、「ローカルポリシー ( 監査ポリシー、ユーザー権利の割り当て、セキュリティオプション ) 」です。
「アカウントポリシー」はDCのGPOには定義されていません。「アカウントポリシー」はドメイン内で一意であるため、既定のドメインGPO ( ドメインリンクのGPO ) でしか定義でき ないのです。OUのGPOのアカウントポリシーは無視されます。