- ベストアンサー
Windows2003 ドメインセキュリティポリシー
こんににちは。 Windows2003ADを構築するにあたり、 ドメインセキュリティポリシーと グループポリシーは別になるのでしょうか。 参考になるURLなどがあれば教えてください。 よろしくお願いします。
- yano-kouichi
- お礼率49% (65/132)
- ハードウェア・サーバー
- 回答数2
- ありがとう数3
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
デフォルトで設定されているポリシーで運用されても特に問題ありません。 ドメイン内の PC にてすべて同一の設定を行いたい場合はDefault Domain Policy、また部署単位で違う設定を行いたい場合は OU 毎に新しいポリシー設定されれば良いかと思います。 ただ、アカウントポリシーはドメインにリンクされているポリシーで設定した値のみ有効になります。
その他の回答 (1)
- u_santamaria
- ベストアンサー率72% (8/11)
こんにちわ。 一般的にはドメインに対してリンクされているグループポリシー(Default Domain Policy)の中のセキュリティーポリシーの事を指します。 [管理ツール]-[ドメインセキュリティーポリシー]から編集を行われる場合も、[管理ツール]-[ActiveDirectory ユーザーとコンピュータ]からDefault Domain Policy の[コンピュータの構成]-[Windows の設定]-[セキュリティの設定]から編集を行われても結果的には同じ事になります。 ドメイン全体に適用される為、既に運用中の環境等で編集を行われる場合は注意された方がよろしいかと思います。
お礼
おそくなってすいませんでした。 ありがとうございました。
補足
デフォルトのポリシーで、運用上 まずいところはあるのでしょうか。 また、具体的にどうゆうことができないのかが 見えてこないです。 たとえば、デスクトップの変更とかです。
関連するQ&A
- windows2003でのドメインのパスワードセキュリティポリシーについて
windows2003でドメインサーバーを構築しました。 管理ツールの「Active Drectory ユーザーとコンピュータ」で ユーザを追加しようとしたところ、パスワードがセキュリティポリシー の要件を満たせないとのことでエラーとなりました。 私が入力したパスワードが単純すぎたようです。 そこで「既定のドメインコントローラセキュリティの設定」で アカウントポリシー>パスワードのポリシー、にて全ての ポリシーを未定義にしました。 これでパスワードがブランクにすることも可能になるはずです。 しかし相変わらずユーザーの追加時に複雑なパスワードを求められます。 OSを再起動しましたが、状況は変わりませんでした。 これはOSの不具合なのでしょうか。 それとも別のセキュリティポリシーを設定する必要があるのでしょうか?
- 締切済み
- Windows系OS
- セキュリティポリシー(ドメイン・ローカル)
セキュリティポリシーについて教えて下さい。 ActiveDirectoryをインストールすると、ローカルセキュリティポリシーの代わりにドメインコントローラセキュリティポリシーが現れますが、これは、=ローカルセキュリティポリシーと考えてよいのでしょうか?また、domainへログオンした状態のクライアントでは、ローカルセキュリティポリシーに優先しドメインセキュリティポリシーが適用されるのでしょうか? それともローカルセキュリティポリシーは全く関係なくなるのでしょうか?また、このコンピュータ(ローカル)にログオンした場合はローカルセキュリティポリシーとドメインセキュリティポリシーの関係はどう適用されるのでしょうか?質問だらけで申し訳ありません。詳しい方がいらっしゃいましたら、ご教授ください。もしくは参考になるサイトを提示いただければ 自分で確認しますので、よろしくお願いいたします。
- ベストアンサー
- その他(ITシステム運用・管理)
- Windows2003のドメインセキュリティポリシーの一覧作成
Windows2003でActivedirectoryを構築しています。 管理の都合上、以下の機能で登録しているポリシーの一覧を作成したいと思っています。 「管理ツール」⇒「ドメインセキュリティポリシー」 ⇒「ドメインコントローラセキュリティポリシー」 しかし、上記ツールから出力できる一覧は各項目毎のエクスポート機能しかなく、全項目についてのエクスポート機能はありません。 どなたか、良いツール(フリーが望ましいです)、又はWMIのスクリプトを構築する為の参考となるページがあれば教えてください。 ※MicroSoftのスクリプトセンターは検索済です。 どうぞよろしくお願い致します。
- ベストアンサー
- Windows系OS
- ドメインに参加している全クライアントPCのローカルポリシー>セキュリティオプションを一括で変更したい
以下の環境で、ADドメインを構築しています。 サーバ:Windows server 2003 クライアント:Win XP Pro ドメイン名:ABC.local ADアカウント:テスト環境用にtest1とtest2を作成 「セキュリティの設定」→「ローカルポリシー」→「セキュリティオプション」の設定を当ドメインに参加するクライアントPCに対して一括で設定することはできないのでしょうか? セキュリティ対策の一環として、以下のような設定を考えています。 1.パスワードの有効期限:30日 2.パスワードの最低文字数:5文字以上 3.アカウントロック失敗回数:3回 4.パスワード有効期限の何日前に変更を促すか:10日 1~3に関しては、ドメインコントローラサーバ上でグループポリシーオブジェクトを開き、「セキュリティの設定」→「アカウントポリシー」→「パスワードの設定」と「アカウントロックアウトの設定」で設定が可能で、クライアントPCが当ドメインにログインする際に確認される項目のため、全クライアントPCに対して設定しなくてもドメインコントローラ上の設定だけで大丈夫です。 ただし、4に関しては各クライアントPCで「セキュリティの設定」→「ローカルポリシー」→「セキュリティオプション」の設定を変更すれば大丈夫ですが、ドメインコントローラ上で同じ設定をしても各クライアントPCには適用されません。(←ドメインコントローラマシンに対してのみのローカル設定という意味だと思うので当然だとは思いますが) どなたか、ドメインに参加するクライアントPCに一括で「ローカルポリシー」→「セキュリティオプション」を設定する方法をご存知でしたら教えてください。
- 締切済み
- その他(ITシステム運用・管理)
- ローカル セキュリティ ポリシー
こんばんは。 Windows2003環境でアクティブ・ディレクトリの調査を しています。 WidnowsXPや非ドメインのサーバなどには、 「ローカル セキュリティ ポリシー」というツールがあり、 自サーバにログインするユーザに制限や権限付与が可能かと思います。 ふと思ったのですが、 ドメインコントローラ自身に対する、 「ローカル セキュリティ ポリシー」は存在するのでしょうか。 「ドメイン セキュリティ ポリシー」は、ドメイン参加の 全てのメンバサーバに設定が反映されますよね。 ではなく、ドメインコントローラだけに適用されるポリシーを 設定したいのです。 実機を探しているのですが、 「ローカル セキュリティ ポリシー」が見当たらず・・ 実際に設定は可能なのでしょうか?。 アドバイスを頂ければ助かります。
- 締切済み
- Windows系OS
- グループポリシーの適用が出来ない
グループポリシーの適用について教えて下さい。 現在、Windows2003でアクティブディレクトリによるドメイン管理の環境を構築しているのですが、クライアントの時刻をログオン時にサーバー(ドメインコントローラー)の時刻と同期させたいのですが上手くいきません。 詳しい環境と条件・現象は以下の通りです。 ・サーバー:Windows2003(ADサーバ1台) ・クライアント:WindowsXP SP2(30台) ・ネットワークは社内で閉じている ・NTPサーバ機能はADサーバのサービス(Windowsタイムサービス)で起動。 ・クライアントのスタートアップにnet timeコマンドで時刻同期するバッチを置く。 ・ADのGPMCでデフォルトドメインポリシーの「コンピュータの構成 - Windowsの設定 - セキュリティの設定 - ローカルポリシー - ユーザー権利の割り当て - システム時刻の変更」を有効にしてグループ「everyone」を追加。 ・ログイン時にバッチが走るが「クライアントは要求された特権を保有していません」と表示され同期できない。 ・ドメインユーザアカウントに「domain admins」グループ追加すれば成功。(当然だが) 何か設定漏れがあるんでしょうか?
- 締切済み
- その他(ITシステム運用・管理)
- ドメインセキュリティポリシーでソフトウェアの制限のポリシー
ドメインセキュリティポリシーでソフトウェアの制限のポリシーをかけ、 動作は問題なかったのですが、 制限の範囲は、 ドメインのAdministratorも含まれるのでしょうか。 またドメインに参加しているPCをローカルでAdministratorでログインした場合も含まれるのでしょうか。 試してみたら制限されていました。 やりたいことは制限をかけるのですが、 対象外のアカウントも必要にしたいのです。 たとえば、Administratorアカウントとか。 可能でしょうか。 よろしくお願いします。
- ベストアンサー
- その他(ITシステム運用・管理)
- windows2003server ドメインセキュリティポリシーの設定
お世話になっております。 ドメイン参加のクライアントで windows fire wallを自動開始させたいのですが、 管理ツールー既定のドメインセキュリティ設定ーシステムサービス でwindows firewall/Internet connnection sharing(ICS) で、このポリシーの設定を定義する サービスのスタートアップモードを選択してください→自動 にしても、クライアントで反映されません。 反映させるにはどこから問題きりわけしたらいいでしょうか・・・ セキュリティの編集は デフォルトでeveryoneフルアクセスになっています。 よろしくお願いいたします。
- 締切済み
- その他(ITシステム運用・管理)
- ローカルセキュリティポリシーの設定変更が出来ません
ドメインに参加しているWindows2003ServerのPC上で、ローカルセキュリティポリシーを設定したいのですが、ボタンがグレーアウトされていて触ることが出来ずに困っております。 <手順> 「管理ツール」から「ローカルセキュリティポリシー」を開き、 ツリービューの「セキュリティの設定」-「ローカルポリシー」-「ユーザー権利の割り当て」まで展開し、どれかポリシーを開く。 <現象> ポリシーのプロパティウィンドウが表示されるが、「ユーザーまたはグループの追加」ボタンと「削除」ボタンがグレーアウトされてしまい、実質操作不可。 ローカルにAdministratorでログオンしても現象は変わりません。 ドメインコントローラ側のグループポリシーか何かで制御をしてしまっているのだろうかと疑っておりますが、そのような制御が果たして出来るのか、恥ずかしながら分かっておりません。 対処方法をご存知の方がいらっしゃいましたら、ご教授いただけないでしょうか。
- ベストアンサー
- その他(ITシステム運用・管理)
お礼
ありがとうございました。
補足
アカウントポリシーが、ドメインにリンクしている、してないの判断がよくわからないんですが。 デフォルトのアカウントポリシーは 有効にならないとゆうことですか? よろしくお願いします。