ローカルグループポリシーの強制適用方法
質問
2015年3月10日火曜日 3:34
Windows Server 2008 R2のドメイン環境を構築し、グループポリシーを利用しています。
ドメインに参加した1サーバーのみ(W2K8R2)ローカルグループポリシーを優先(強制や上書き)したいのですが
ActiveDirectory側のグループポリシー設定(強制や上書きやループバック)を使用せずに、
ドメインに参加したサーバーの設定変更のみで(ローカルグループポリシーなど)ローカルグループポリシーを優先させる方法はないでしょうか
※現在、ActiveDirectory側のグループポリシーでは強制や上書きやループバック設定はしていません。
すべての返信 (5)
2015年3月10日火曜日 6:25
チャブーンです。
ActiveDirectory側のグループポリシー設定(強制や上書きやループバック)を使用せずに、
ドメインに参加したサーバーの設定変更のみで(ローカルグループポリシーなど)ローカルグループポリシーを優先させる方法はないでしょうか
残念ですが、そのような方法はありません。もしそんな方法があったなら、グループポリシーで(強制的に)管理者側で設定を指定する、ということができなくなりますので、グループポリシーが用をなさなくなります。ですから、抜け道的な方法は用意されていないでしょう。限定的には、ローカルポリシーのループバック処理でできるようです。
2015年3月10日火曜日 9:07
チャブーンさま
ご返信ありがとうございます。
現在、検;中ではありますが、ローカルグループポリシーの「ユーザーグループポリシーループバック」を設定すれば
ローカルグループポリシーで置換されるようです。
上記方法について、注意点や見解等を頂ければ幸いです。
2015年3月10日火曜日 10:40
チャブーンです。
現在、検;中ではありますが、ローカルグループポリシーの「ユーザーグループポリシーループバック」を設定すれば
ローカルグループポリシーで置換されるようです。
なるほど。Windows Server 2012 R2ベースですが、確かにおっしゃるような挙動になりますね。注意点としては、したのような感じになるのでしょうか。
- ループバックの「統合」のみ機能します。「置換」は機能しない(期待する結果にならない)ようです。(もしかしたらポリシー内容によって違うのかもしれませんが)
- ユーザーループバック機能を使うので、[ユーザーの構成]のみ機能します。[コンピュータの構成]は変えられません。
- [ローカルグループポリシーオブジェクトの処理を無効にする]ポリシーが、ドメインGPO側で有効であれば機能しません。
- ドメインGPO側で[ユーザーグループポリシーループバックの処理モードを構成する]が[未構成]でない場合、その機能がそのまま使われます(LGPO側での設定は効果がありません)
なお、この設定がMS側で想定内のもの(サポート対象になるかどうか)かどうかは正直わかりませんので、必要があればご自身でMS有償サポートに確認をなさってください。
2015年3月10日火曜日 12:25
チャブーンさま
ご丁寧な、返信ありがとうございます。
注意点を含め検;を進めます。
検;結果については、別途ご報告させていただきます。
2015年3月13日金曜日 1:06
チャブーンさま
その後の検;結果をご報告させていただきます。
本検;では、Administratorsにローカルグループポリシーを適用したくないため、非管理者用のローカルグループポリシーを作成しています。
ローカルグループポリシー設定のユーザーループバック機能でポリシーを適用可能と判断していますが
ActiveDirectory側のGPOでは、ユーザーの構成に「基本設定」項目がありますがLGPOにはありません。
ローカルグループポリシーに「基本設定」項目を取り込むことは不可能でしょうか
※一般ユーザーがリモートディスクトップアクセスをしてきた場合のスタートメニュー表示を非表示にしたい
上記について、ご教授頂ければ幸いです。