グループ ポリシーによるドメインのコンピュータの管理

このシナリオでは、noam.reskit.com ドメイン内のコンピュータを管理するために、以下の機能が求められています。

• ドメイン全体のコンピュータの集中的な管理機能

• Boston と Vancouver の各支社のコンピュータのローカルな管理

コンピュータの集中管理の必要性と各地域の管理の必要性のバランスを取るために、ドメイン内の各サーバーおよびクライアント コンピュータのローカル Administrators グループのメンバシップを制限するグループ ポリシーを使用します。

既定の設定でドメイン内の各コンピュータのローカル Administrators グループは、そのコンピュータに対してフル コントロールを持ちます。ドメインに参加する前のコンピュータでは、ローカル Administrators グループの唯一の既定のメンバはローカル Administrator アカウントだけです。最初にこのアカウントを使用して、コンピュータをセットアップします。ドメインにコンピュータを参加させると、コンピュータのローカル管理者グループに Domain Admins グループが既定で追加され、コンピュータに対するローカル Administrators グループの管理権限 (この場合はフル コントロール) が得られます。Domain Admins グループでは、ドメインに参加するすべてのコンピュータに対するフル コントロールを得るため、ドメイン内のすべてのコンピュータに対する集中管理を行うことが事実上想定されています。

しかし noam.reskit.com ドメインでは、Domain Admins グループの作業負担を軽減するために、サーバーのバックアップやクライアントのパスワードのリセットなど、日常の管理作業を実行する権限を信頼されるその他の管理者グループに委任します。そして、ドメインのサーバーを中央から管理するためにNoam Server Admins グループを作成し、クライアントを中央から管理するために Noam Help Desk を作成します。また、それぞれの場所でサーバーおよびクライアントの両方を管理するために、Boston Admins グループおよび Vancouver Adminsグループを作成しました。これらのグループを作成して、それぞれに適切な管理権限を与える必要があります。このためには、ドメインのコンピュータ上のローカル Administrators グループのメンバシップを制限する GPO を各場所の子 OU に適用します。

注意
ドメインの各サーバー上のローカル Administrators グループに Noam Server Admins グループを追加すると、ドメイン コントローラを除くドメイン内のすべてのサーバーのフル コントロールが Noam Server Admins グループに与えられます (ドメイン コントローラ コンピュータのアカウントは Domain Controllers OU に存在するため、以下に記述する GPO の対象範囲外になります) 。ドメイン コントローラは組み込みの Server Operators グループで管理します。noam.reskit.com ドメインでは、Server Operators グループのメンバは、Seattle に勤務する中央の IT スタッフです。Boston Admins グループおよび Vancouver Admins グループにそれぞれの場所のドメイン コントローラを保守する権限を与えるために、この 2 つのグループを Server Operators グループに追加します。このために、Server Operators グループの [プロパティ] ページの [Members] タブで、Server Operators のメンバとして Boston Admins および Vancouver Admins を指定します。

ドメインのサーバーの管理
Seattle 内のサーバーを管理するために、Seattle Computers OU の子 OU Servers に "Seattle Servers" GPO を適用します。この GPO では、ローカルの Administrators グループのメンバシップを以下に制限します。

• Noam Server Admins グループ

• ローカル Administrator アカウント

• Domain Admins グループ

Noam Servers Admins グループのメンバは、Seattle に勤務する中央の IT スタッフです。サーバーのローカル Administrators グループにメンバとして Noam Server Admins グループを追加すると、そのローカル サーバーに対するフル コントロールが Noam Server Admins グループに与えられます。Seattle 内の各サーバー上のローカル Administrators グループに Noam Server Admins を追加することによって、Seattle 内のすべてのサーバーに対するフル コントロールを Noam Server Admins グループに与えることになります。

注意
グループ ポリシーを使用してグループのメンバシップを制限した場合、グループの既定のメンバシップよりも、適用したポリシーが優先されます。したがって、このポリシーでは、サーバー コンピュータ上のローカル Administrators グループにローカル Administrator アカウントおよび Domain Admins グループを追加することを指定する必要があります。この指定を行わない場合、ポリシーを適用したときにローカル グループの Administrators グループから Administrator アカウントおよび Domain Admins グループが削除されます。

Boston 内のサーバーを管理するために、Boston Computers OU の子 OU Servers に "Boston Servers" GPO を適用します。この GPO では、ローカルの Administrators グループのメンバシップを以下に制限します。

• Noam Server Admins グループ

• ローカル Administrator アカウント

• Domain Admins グループ

• Boston Admins グループ

"Boston Servers" GPO は、さらに Boston Admins グループをサーバー コンピュータ上のローカル Administrators グループに追加する点を除いて、"Seattle Servers" GPO と同じです。Boston Admins グループのメンバは、Boston のローカル IT スタッフです。サーバーのローカル Administrators グループにメンバとして Boston Admins グループを追加すると、ローカル サーバーに対するフル コントロールが Boston Admins グループに与えられます。Boston 内の各サーバー上のローカル Administrators グループに Boston Admins グループを追加することによって、Boston 内のすべてのサーバーに対するフル コントロールを Boston Admins グループに与えることになります。

Vancouver 内のサーバーを管理するために、Vancouver Computers OU の子 OU Servers に "Vancouver Servers" GPO を適用します。この GPO では、ローカルの Administrators グループのメンバシップを以下に制限します。

• Noam Server Admins グループ

• ローカル Administrator アカウント

• Domain Admins グループ

• Vancouver Admins グループ

Vancouver Admins グループのメンバは、Vancouver のローカル IT スタッフです。"Vancouver Servers" GPO によって Vancouver 内のサーバーに対して Vancouver Admins グループに与えられる権利は、"Boston Servers" GPO によって Boston 内のサーバーに対して Boston Admins グループに与えられる権利と同じです。

"Seattle Servers"、"Boston Servers"、および "Vancouver Servers" の各 GPO を組み合わせた結果は以下のとおりです。

• Noam Server Admins グループは、ドメイン内のすべてのサーバーに対するフル コントロールを持ちます。

• Boston Admins グループは、Boston 内のサーバーに対してフル コントロールを持ちますが、Seattle または Vancouver 内のサーバーに対して管理権限を持ちません。

• Vancouver Admins グループは、Vancouver 内のサーバーに対してフル コントロールを持ちますが、Seattle または Boston 内のサーバーに対して管理権限を持ちません。

ドメインのクライアントの管理
このシナリオのドメインのクライアント コンピュータを管理する手法は、ドメインのサーバー コンピュータを管理するための手法と似ています。

Seattle 内のクライアント コンピュータを管理するために、Seattle Computers OU の子 OU Clients に "Seattle Clients" GPO を適用します。この GPO では、ローカル Administrators グループのメンバシップを以下に制限します。

• Noam Help Desk グループ

• ローカル Administrator アカウント

• Domain Admins グループ

Noam Help Desk グループのメンバは、Seattle に勤務する中央の IT スタッフです。クライアントのローカル Administrators グループにメンバとして Noam Help Desk グループを追加すると、ローカル クライアントに対するフル コントロールが Noam Help Desk グループに与えられます。Seattle 内の各クライアント上のローカル Administrators グループに Noam Help Desk を追加することによって、Seattle 内のすべてのクライアントに対するフル コントロールを Noam Help Desk グループに与えることになります。

Boston 内のクライアントを管理するために、Boston Computers OU の子 OU Clients に "Boston Clients" GPO を適用します。この GPO では、ローカルの Administrators グループのメンバシップを以下に制限します。

• Noam Help Desk グループ

• ローカル Administrator アカウント

• Domain Admins グループ

• Boston Admins グループ

"Boston Clients" GPO は、さらに Boston Admins グループをクライアント コンピュータ上のローカル Administrators グループに追加する点を除いて、"Seattle Clients" GPO と同じです。Boston Admins グループのメンバは、Boston のローカル IT スタッフです。クライアントのローカル Administrators グループにメンバとして Boston Admins グループを追加すると、ローカル クライアントに対するフル コントロールが Boston Admins グループに与えられます。Boston 内の各クライアント上のローカル Administrators グループに Boston Admins グループを追加することによって、Boston 内のすべてのクライアントに対するフル コントロールを Boston Admins グループに与えることになります。

Vancouver 内のクライアントを管理するために、Vancouver Computers OU の子 OU Clients に "Vancouver Clients" GPO を適用します。この GPO では、ローカルの Administrators グループのメンバシップを以下に制限します。

• Noam Help Desk グループ

• ローカル Administrator アカウント

• Domain Admins グループ

• Vancouver Admins グループ

Vancouver Admins グループのメンバは、Vancouver のローカル IT スタッフです。"Vancouver Clients" GPO によって Vancouver 内のクライアントに対して Vancouver Admins グループに与えられる権利は、"Boston Clients" GPO によって Boston 内のクライアントに対して Boston Admins グループに与えられる権利と同じです。

"Seattle Clients"、"Boston Clients"、および "Vancouver Clients" の各 GPO を組み合わせた結果は以下のとおりです。

• Noam Help Desk グループでは、ドメイン内のすべてのクライアントに対するフル コントロールが得られます。

• Boston Admins グループは、Boston 内のクライアントに対してフル コントロールを持ちますが、Seattle または Vancouver 内のクライアントに対して管理権限を持ちません。

• Vancouver Admins グループは、Vancouver 内のクライアントに対してフル コントロールを持ちますが、Seattle または Boston 内のクライアントに対して管理権限を持ちません。

グループのメンバシップを制限するための GPO を作成するには、以下の 2 つの手順が必要です。

1. 制限されたグループの GPO を作成します。この作業は、Group Policy Creator Owners Group のメンバが行うことができます。

2. 制限したいグループのメンバシップを構成します。この作業は、Enterprise Admins または Domain Admins のメンバが行うことができます。

以下に、"Seattle Servers" GPO を作成する手順を示します。

"Seattle Servers" GPO を作成するには

1. Seattle の Windows 2000 Professional ベースのコンピュータから、Group Policy Creator Owners セキュリティ グループのメンバとして noam.reskit.com にログオンします。

2. [スタート] メニューから、[ファイル名を指定して実行] をクリックします。

3. [ファイル名を指定して実行] ダイアログ ボックスで、mmc と入力し、[OK] をクリックします。Microsoft 管理コンソールが表示されます。

4. [コンソール] メニューで、[スナップインの追加と削除] をクリックします。

5. [スナップインの追加と削除] ダイアログ ボックスで [追加] をクリックします。

6. [スタンドアロン スナップインの追加] ダイアログ ボックスの [スナップイン] 列で、[グループ ポリシー] をクリックします。

7. [追加] をクリックして、グループ ポリシー オブジェクトの選択ウィザードを表示します。

8. [参照] をクリックして [グループ ポリシー オブジェクトの参照] ダイアログ ボックスを表示します。

9. [すべて] タブをクリックします。

10. [名前] 列の空の領域を右クリックし、[新規] をクリックします。

    [名前] 列に [新規グループ ポリシー オブジェクト] が追加されます。

11. 新しいグループ ポリシー オブジェクトの名前として Seattle Servers と入力し、[OK] をクリックします。

12. [完了] をクリックしてグループ ポリシー オブジェクトの選択ウィザードを閉じます。

13. [閉じる] をクリックして [スタンドアロン スナップインの追加] ダイアログ ボックスを閉じます。

14. [OK] をクリックして [スナップインの追加と削除] ダイアログ ボックスを閉じます。

    コンソール ルートに [Seattle Servers] が追加されます。

15. [Seattle Servers] を展開します。

16. [コンピュータの構成] を展開します。

17. [Windows の設定] を展開します。

18. [セキュリティの設定] を展開します。

19. [制限されたグループ] を右クリックします。

20. [グループの追加] をクリックします。[グループの追加] ダイアログ ボックスが表示されます。

21. [グループの追加] ダイアログ ボックスの [グループ] ボックスで、Administrators と入力します。

    注意
    [参照] を使用しないでください。このボタンを使用すると、ドメイン全体のグループ (たとえば Domain Admins) と、ローカル コンピュータの管理グループ (この場合は Seattle の W2P) の一覧が表示されます。ドメイン内のその他のコンピュータのローカル グループは表示されません。現在のポリシーの対象範囲が Seattle 内のサーバーのコンピュータ アカウントを含む OU であるため、入力したエントリ "Administrators" は、このような対象コンピュータ上のローカルの Administrators グループとして認識されます。

22. [OK] をクリックして、[グループの追加] ダイアログ ボックスを閉じます。

23. [グループ ポリシー] スナップインを閉じます。GPO は自動的に保存されます。この GPO は、[Active Directory ユーザーとコンピュータ] からアクセスできます。

24. MMC コンソールを保存したい場合は、コンソールの設定を保存しますか、というメッセージが表示されときに [はい] をクリックすると、[名前を付けて保存] ダイアログ ボックスが表示されます。

25. 選択したローカル ディスク上に、選択したファイル名でコンソールが保存されます。

管理者は、Seattle Computers OU の子 OU Servers に含まれるすべてのサーバーのローカル Administrators グループのメンバシップを構成できます。

Administrators グループのメンバシップを構成するには

1. Seattle の Windows 2000 Professional ベースのコンピュータから Administrator として noam.reskit.com にログオンします。

2. [スタート] メニューから、[プログラム]、[管理のツール] をポイントし、[Active Directory ユーザーとコンピュータ] をクリックします。

3. [noam.reskit.com] を展開します。

4. [Seattle Computers] を展開します。

5. [Servers] を右クリックします。

6. [プロパティ] をクリックします。

7. [グループ ポリシー] タブをクリックします。

8. [追加] をクリックします。[グループ ポリシー オブジェクトのリンクを追加します] ダイアログ ボックスが表示されます。

9. [すべて] タブをクリックします。

10. [名前] 列で、[Seattle Servers] をクリックし、[OK] をクリックします。

11. [編集] をクリックします。[グループ ポリシー] スナップインが表示されます。

12. [コンピュータの構成] で、[Windowsの設定] を展開します。

13. [セキュリティの設定] を展開します。

14. [制限されたグループ] をクリックします。先の手順で指定した [Administrators] グループが詳細ペインの [グループ名] 列に表示されます (図 1 を参照) 。

    
    図 1: グループのメンバシップの制限

15. 詳細ペインで、[Administrators] を右クリックし、[セキュリティ] をクリックします。[Administrators のメンバシップの構成] ダイアログ ボックスが表示されます。

16. [このグループのメンバ] ボックスの隣の [追加] をクリックします。[メンバを追加します] ダイアログ ボックスが表示されます。

17. [メンバ] ボックスで、Administrator と入力します。

    注意
    [参照] を使用しないでください。このボタンを使用すると、ドメイン全体のグループ (たとえば Domain Admins) と、ローカル コンピュータの管理グループ (この場合は Seattle の W2P) の一覧が表示されます。ドメイン内のその他のコンピュータのローカル グループは表示されません。現在のポリシーの対象範囲が Seattle 内のサーバーのコンピュータ アカウントを含む OU であるため、入力したエントリ "Administrators" は、このような対象コンピュータ上のローカルの Administrators グループとして認識されます。

18. [OK] をクリックします。

19. [このグループのメンバ] ボックスの隣の [追加] ボタンをクリックします。

    ほかの追加対象メンバはドメイン全体のグループであるため、[参照] を使用できます。

20. [参照] をクリックして [ユーザーまたはグループの選択] ダイアログ ボックスを表示します。

21. [名前] 列で、[Noam Server Admins] グループをクリックし、[追加] をクリックします。

22. [Domain Admins] グループをクリックし、[追加] をクリックします。

23. [OK] をクリックして、[ユーザーまたはグループの選択] ダイアログ ボックスを閉じます。

24. [OK] をクリックして、[メンバを追加します] ダイアログ ボックスを閉じます。指定したグループのメンバシップが [Administrators のメンバシップの構成] ダイアログ ボックスに表示されます (図 2 を参照) 。

    
    図 2: グループのメンバシップの構成

25. [OK] をクリックして、[Administrators のメンバシップの構成] ダイアログ ボックスを閉じます。

26. [グループ ポリシー] スナップインを閉じます。

27. [OK] をクリックして、[Servers のプロパティ] ダイアログ ボックスを閉じます。

Boston Computers OU および Vancouver Computers OU の子 OU Servers にも、同様の GPO を適用します。"Boston Servers" GPO は、さらに Boston Admins グループをサーバー コンピュータ上のローカル Administrators グループに追加する点を除いて、"Seattle Servers" GPO と同じです。"Vancouver Servers" GPO は、さらに Vancouver Admins グループをサーバー コンピュータ上のローカル Administrators グループに追加する点を除いて、"Seattle Servers" GPO と同じです。

Seattle Computers OU の子 OU Clients に "Seattle Clients" GPO を適用します。"Seattle Servers" GPO の場合と同じように、適用対象の OU に含まれる各コンピュータ上のローカルな Administrators グループのメンバシップを制限します。Seattle 内のクライアントに対しては、ローカルの Administrators グループのメンバシップを以下に制限します。

• Domain Admins

• Noam Help Desk

• ローカル Administrator アカウント

Boston Computers OU の子 OU Clients に "Boston Clients" GPO を適用します。この場合は、Boston 内の各ワークステーションのローカル Administrators グループのメンバシップを以下に制限します。

• Domain Admins

• Noam Help Desk

• ローカル Administrator アカウント

• Boston Admins

Vancouver Computers OU の子 OU Clients に "Vancouver Clients" GPO を適用します。この場合は、Vancouver 内の各ワークステーションのローカル Administrators グループのメンバシップを以下に制限します。

• Domain Admins

• Noam Help Desk

• ローカル Administrator アカウント

• Vancouver Admins

関連情報

• 親 OU と子 OU の作成

• ビルトイン セキュリティ グループの Admins OU への移動

• Admins OU への新しいセキュリティ グループの追加

• セキュリティ グループへの管理権限の委任

• セキュリティ グループへのメンバの追加

• グループ ポリシーによるソフトウェアの配布

• 管理者のワークステーションのパスワードによる保護

• OU 構造への格納

• グループ ポリシーによるドメインのコンピュータの管理

• 部門間のリソースの共有

関連資料

• Windows 2000 Server リソース キット 購入ページ

• Windows 2000 Professional リソース キット 購入ページ

• Windows 2000 リソース キットの詳細については、こちらを参照してください。

注意
このシナリオにおいて、コンピュータおよびデバイスを構成するために使用した手続きは、サンプルとして紹介したものです。実際のネットワークでは、類似したコンピュータおよびデバイスを構成する場合でも、必要になる手順はそれぞれのケースで異なります。さらに各シナリオでは、目的とする機能を実現するために必要な手順だけを示しています。運用ネットワークにおいて必要になる、その他の手順については取り上げていません。すべてのシナリオは、特に表記しない限り Windows 2000 を使用してテストされています。また、ブラウザとして Microsoft Internet Explorer 5 以上を推奨します。