この記事では、ドメイン コントローラーのグループ ポリシー アプリケーション規則について説明します。
元の KB 番号: 259576
まとめ
ドメイン コントローラーは、ドメインのルートにリンクされているグループ ポリシー オブジェクトからのみ、一部のセキュリティ設定をプルします。 ドメイン コントローラーはドメインに対して同じアカウント データベースを共有するため、すべてのドメイン コントローラーで特定のセキュリティ設定を一様に設定する必要があります。 これにより、ログオンに使用するドメイン コントローラーに関係なく、ドメインのメンバーに一貫したエクスペリエンスが提供されます。 Windows では、グループ ポリシーの特定の設定のみをドメイン レベルのドメイン コントローラーに適用できるようにすることで、このタスクを実行します。 このグループ ポリシーの動作は、メンバー サーバーとワークステーションで異なります。
グループ ポリシーがドメイン コンテナーにリンクされている場合、Windows のドメイン コントローラーに次の設定が適用されます。
Computer Configuration/Windows Settings/Security Settings/Account Policies のすべての設定 (これには、アカウント ロックアウト、パスワード、Kerberos のすべてのポリシーが含まれます)。
Computer の構成/Windows の設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプションの次の 3 つの設定:
- ログオン時間の有効期限が切れたときにユーザーを自動的にログオフする
- 管理者アカウントの名前を変更する
- ゲスト アカウントの名前を変更する
次の設定は、グループ ポリシーがドメイン コンテナーにリンクされている場合にのみ、Windows ベースのドメイン コントローラーに適用されます。 (設定は にあります。Computer Configuration/Windows Settings/Security Settings/Local Policies/Security Options.)
- アカウント: Administrator アカウントの状態
- アカウント: Guest アカウントの状態
- アカウント: Administrator アカウント名の変更
- アカウント: Guest アカウント名の変更
- ネットワーク セキュリティ: ログオン時間を経過した場合はユーザーを強制的にログオフさせる
詳細
ドメイン コントローラーはドメイン コントローラーの組織単位から別の組織単位に移動できるため、グループ ポリシー オブジェクトのこれらの設定はドメイン コントローラー組織単位には適用されません。 ドメイン コンテナーを使用すると、ドメイン コンテナーが存在する組織単位に関係なく、これらの設定を適用できます。
ドメイン コントローラーにこれらの設定を適用するプロセスには、次のものが含まれます。
- ドメイン コントローラーは、ドメイン コントローラーの Computer オブジェクトの親コンテナーを検索して、グループ ポリシー オブジェクトの一覧を収集します。
- ドメイン コントローラーは、グループ ポリシー オブジェクトがドメイン コンテナーにリンクされている場合にのみ、前述の設定を適用します。
- ドメイン コンテナーにリンクされている複数のグループ ポリシー オブジェクトがある場合、グループ ポリシー オブジェクトのアプリケーションは、一覧の下部にあるグループ ポリシー オブジェクトから始まり、グループ ポリシー オブジェクトの先頭で終わります。 これにより、グループ ポリシー オブジェクトが他のグループ ポリシー オブジェクトよりも優先されます。