Translate

2017年12月31日日曜日

グループポリシーをユーザーグループに適用できない原因

WindowsServerでユーザーのグループに対してグループポリシーを割り当てたい時って、あると思います。

普通に考えれば、GPO(グループポリシーオブジェクト)の[スコープ]タブの[セキュリティ処理]に、そのユーザーグループを追加するだけでいいんじゃないかと考えます。

しかし私がそれをしてみたところ、GPOのアクセス拒否とかなんとかで、適用されませんでした。

色々思考錯誤してみたところ、どうやらスコープにユーザーグループを追加する他に、[委任]タブにユーザーグループの上位に当たるもの(Usersとか)を追加しないといけないようです。

ちなみに、[スコープ]へUsersそのものを追加した場合(つまり全ユーザーへグループポリシーを適用する場合)は、自動的に[委任]のほうへもUsersが追加されるので、この手順は必要ありません。

もちろん、ユーザーのグループを[スコープ]へ追加した場合にも、同じようにそのグループは[委任]のほうへも追加されているのですが、なぜかグループに委任をしてもアクセス権限的には効果がないようで……この辺りの理屈は、私自身もまだよくわかっていません。

何にせよ、GPOの[スコープ]にユーザーのグループを追加する時は、[委任]にUsersを追加する、と覚えておけば良さそうです。

そもそもの話というか、私が色々なWeb記事を読み漁ったところでは、ユーザーのグループにグループポリシーを割り当てる手順というのが丁寧に書かれた記事は、あまり見当たりませんでした。

もしかしたら、一部のユーザーにグループポリシーを割り当てたい場合は、OU(オーガニゼーションユニット:組織単位)を使用するほうが一般的な手法なのかもしれません。こちらのやり方なら、あちこちに参考記事が見つかりました。

確かにOUでポリシーを割り当てたほうが、グループポリシーの管理画面でも階層別に分けられて、視覚的に分かりやすくなる気がします。ユーザー構成的に融通がきくようであれば、グループをOUに置き換えてもいいかもしれません(グループじゃないと出来ない分け方もあるとは思いますが……)。

0 件のコメント:

コメントを投稿