ドメイン内のサーバーやコンピュータにはいくつかのセキュリティポリシーが適用されます。1つのセキュリティポリシーではない為、仕組みが分かりづらいと思う方もいらっしゃるようです。
ここではドメイン内のサーバー、コンピュータに適用されるセキュリティポリシーについて詳しく解説していきます。
※ 初めにドメイン内のセキュリティポリシーの動作仕様について要約します。
-
各コンピュータ/サーバーには、いくつかのポリシーが定義されたローカルセキュリティポリシーが存在し、これは必ず適用される。
-
その次にドメインセキュリティポリシーが適用される。ローカルセキュリティポリシーと競合する項目はドメインGPOが優先適用される。
-
ドメインGPOで初期設定されているのは主に「アカウントポリシー(パスワードポリシー/アカウントロックアウトのポリシー/Kerberosポリシー)」である。アカウントポリシーはドメインにリンクしたGPO以外では定義できない。(OUで定義しても無視される)
-
つまりドメインに参加しているコンピュータでは、主にアカウントポリシー以外はローカルセキュリティポリシーで定義されている
。その為これらはクライアントコンピュータでも変更可能だが、ポリシーはドメイン又はOUのGPOで一括して定義
・管理することが望ましい。
|
|
まずは各コンピュータのセキュリティポリシーが適用される |
ドメインコントローラを含むサーバーやクライアントコンピュータにはそれぞれローカルセキュリティポリシー(=ローカルグループポリシーオブジェクトのセキュリティ設定部分)が定義されており、これが必ず最初に適用されます。(LGPOの適用)
ローカルセキュリティポリシーには予め「アカウントポリシー」や「ユーザー権利の割り当て」「セキュリティオプション」など、PC操作に必要なセキュリティが定義されています。
ローカルセキュリティポリシーを確認するには、「ファイル名を指定して実行」から「secpol.msc」と入力してEnterキーを押すか、「管理ツール」−「ローカルセキュリティポリシー」をクリックします。
▼
ローカルセキュリティポリシーの内容。全てのコンピュータに、まずこのセキュリティポリシーが適用されます。
※
コンピュータには必ずローカルセキュリティポリシーが適用されているため、PCを利用する上で制約やルール、「管理者以外は〜が出来ない」といった制御が行われます。
|
次に既定のドメインセキュリティポリシーが適用 |
ドメインに参加したコンピュータには、次に既定のドメインセキュリティポリシー(=既定のドメインGPO(Default
Domain Policy)-「コンピュータの構成」−「Windowsの設定」−「セキュリティの設定」の部分)が適用されます。LGPO(ローカルグループポリシー)は、ドメイングループポリシーに上書きされるため、バッティングするセキュリティポリシーがあった場合は最初に適用されたローカルセキュリティポリシーの定義内容は無効となります。
既定のドメインセキュリティポリシーには、予めアカウントポリシー(パスワード・アカウントロックアウト・Kerberos)が定義されて
おり、この内容はドメイン全体に適用されます。尚、既定のドメインセキュリティポリシーには他の設定(ユーザー権利の割り当て等)は殆ど定義されていません。ですから
既定のGPOやOUで任意のセキュリティポリシーを定義しない限り、各クライアントコンピュータには自身のローカルセキュリティポリシーの設定が適用されます。(つまり既定ではドメインGPOで定義されるアカウントポリシー以外は、ローカルセキュリティポリシーで定義されている。)
|
ドメインコントローラのセキュリティポリシー |
ドメインコントローラはDomain Controllers OUに属しており、このOUにリンクしている既定のDC
GPO(Default Domain Controllers
Policy)のセキュリティ設定(=ドメインコントローラセキュリティポリシー)が適用されます。OUにリンクされたGPOは最強であるため、ドメインセキュリティポリシーよりドメインコントローラセキュリティポリシーが優先適用されることになります。
ドメインコントローラセキュリティポリシーで予め定義されているのは、「ローカルポリシー(監査ポリシー、ユーザー権利の割り当て、セキュリティオプション)」です。
「アカウントポリシー」はDCのGPOには定義されていません。「アカウントポリシー」はドメイン内で一意であるため、既定のドメインGPO(ドメインリンクのGPO)でしか定義できないのです。OUのGPOのアカウントポリシーは無視されます。
|
現在適用されているセキュリティポリシーを確認するには
ドメイン内のクライアントコンピュータに適用されているセキュリティポリシーを確認する方法はいくつかあります。
|
◆
ローカルセキュリティポリシーで確認する場合 ◆
「管理ツール」−「ローカルセキュリティポリシー」をクリックするか、コマンドで「secpol.msc」と入力して起動します。
ローカルセキュリティポリシーにはローカルセキュリティポリシー、ドメインセキュリティポリシー、OUのポリシーで定義されているポリシーの累積結果が表示されるため、現在適用されているポリシー
を確認することができます。(ドメインやOUのGPOで定義された項目はグレーアウトされローカル側では変更できない)
◆
ポリシーの結果セットで確認する場合 ◆
「ファイル名を指定して実行」で「mmc」と入力→Enterキーをおします。コンソールが起動したら、「ファイル」−「スナップインの追加と削除」−「ポリシーの結果セット」を追加し、「操作」メニュー−「RSOPデータの生成」をクリックしてウィザードを完了させます。
ポリシーの結果セットでは、ドメイン及びOUで定義されているポリシーの累積結果が表示され、更にどのGPOから取得しているかも分かります。
但し、ドメイン・OUで定義していない項目は「未定義」と表示
され、適用内容がわかりません。(ドメインGPOで定義していないポリシーはローカルセキュリティポリシーが適用されますが、その内容が分からないということです。例えば「ユーザー権利の割り当て」は全て「未定義」で表示されます。)
「未定義」部分は、ローカルセキュリティポリシーで確認しましょう。