GPOとグループアカウントに関する課題

このQ&Aのポイント
  • GPOとグループアカウントの関係について悩んでいます。ログオンスクリプトが特定のユーザーに適用されない問題があります。
  • グループAにはGPOが適用されないため、GPOを適用させたいユーザーにグループAに所属させればいいのか悩んでいます。
  • どうやって特定のユーザーにのみGPOを適用させるか、OU構成を変えずに解決したいです。
回答を見る
  • ベストアンサー

GPOとグループアカウント

以下のようにOUを構築しました ドメイン |-OU:ログ吐き出しあり |  |-グループ:A | |-OU:総務 | |-ユーザー:test1 | |-OU:庶務 |-ユーザー:test2、test3 「OU:総務」に、「test11ユーザー」を作成しています。 「OU:庶務」に「testユーザー2」「test3ユーザー」を作成しています。 「OU:ログ吐き出しあり」に、「test1ユーザー」「testユーザー2」が属する「グループA」 を作成しています。 「OU:ログ吐き出しあり」に、ユーザーログオン時に、ログインした時間等を吐き出すスクリプトを作成し、「名前:GPO1」の「ユーザーログオン」項目に仕込みました。 それを「OU:ログ吐き出しあり」にGPO1を適用しました。 この状態で、「test1」「test2」でログオンしたところ、 ログオンスクリプト(=GPO)が走らないのです。 当然、「OU:ログ吐き出しあり」に、「test1」「test2」を移動させると ログオンスクリプトが走りログが吐き出されます。 グループA(=グループアカウント)には、GPOは適用されないのでしょうか? グループAに適用され、グループAに属しているtestとtest2に間接的にGPOが適用されると思っていたのです。 どうしても、「test3ユーザ」には、「GPO1」を適用させたくないのです。1と2だけログを出力させたいのです。 また、可能であればOU構成は変えたくないのです。 どなたか良い解決方法をご存知の方がいらっしゃいましたら ご教授のほうよろしくお願いします。

質問者が選んだベストアンサー

  • ベストアンサー
  • OMEGAT
  • ベストアンサー率70% (455/642)
回答No.1

十分に質問を理解していないのですが・・・ まず、セキュリティグループに対してポリシーを適用することはできません。 結果的に同様のことを行うためには、グループポリシーの適用をフィルタする(ポリシーの適用を特定のユーザーやグループに行わない)必要があると思います。 以下などが参考にならないでしょうか。 OUと異なったグループ単位にポリシーを設定したい http://www.monyo.com/technical/windows/12.html

ShiftTail
質問者

お礼

紹介していただいた方法で何とかなりそうです。 情報ありがとうございました。

関連するQ&A

  • グループポリシーが適用されません

    プロキシのグループサーバが当たらずに困っています。 環境はというと、Windows 2008 R2のトップドメインのドメコンにOUを作成し、その中にセキュリティグループを作り、そのセキュリティグループの中にユーザーが入っています。 そして、サブドメコンにクライアントPCがログオンするという形をとっています。 (ユーザーはトップドメコンにいるので、どこのサブドメコンでもログオンできるようにという考えです。) そこで、トップドメインのOUにリンクするグループポリシーを作成し、 「ユーザーの構成」-「ポリシー」-「Windowsの設定」-「Internet Explorerのメンテナンス」-「接続」- 「プロキシの設定」 にプロキシの設定を記入しています。 ところが、上記の設定が適用されません。 ためしに、トップドメインのDefault Domain Policyにプロキシの設定を記入するとそれはちゃんと適用されます。 もしかしたら、OUにリンクしたグループポリシーというのはセキュリティグループでネストされるユーザーには適用されないのでしょうか? それとも全く見当違いの設定をしているのでしょうか? ぜひ、ご教示をお願いいたします。

  • ADにおけるグループポリシーの適用順序について

    ドメインに参加しているPCが起動後ログインした場合に、 ローカル、サイト、ドメイン、OUの順にGPOが適用されるというのはわかるのですが、混乱しているので教えてください。例えば、OUにGPOがリンクしているときに: 起動時にあたるのは、コンピュータが属しているOUにリンクされているGPOの、コンピュータの構成(GPO上部)にあたる部分だけが適用されるのでしょうか? 同様に、ログイン時に当たるのはユーザが属しているOUにリンクされているGPOの、ユーザーの構成(下部)のみでしょうか? それとも起動時およびログイン時にはそれぞれ、コンピュータの構成→ユーザーの構成の順に各々当たるのでしょうか? 基本的な質問で申し訳ありませんが、よろしくお願いします。

  • Active Directory のGPOリンク

    Windows server 2003のADを勉強中です。 下記のサイトの中段部分のGPOのリンクの説明って間違ってませんか? http://www.atmarkit.co.jp/fwin2k/tutor/gpolicy02/gpolicy02_02.html 例) 「A」と言う名前のOUに 「a」というGPOをリンクしている。 ここに「B」という新しいOUをつくり、このOUには「A」と同じグループポリシーを与えたい場合。 そんなときは「B」OUに「a」GPOをリンクさせてやるだけでよい。 この考え方であっていますか?

  • GPOについて教えてください。

    ドメインでOUなどにグループポリシーを適用するにはどうすればよいのでしょうか?Windwosサーバーでgpedit.mscなどとやるのでしょうか? またXPでgpedit.mscとやるのと違いはあるのでしょうか?

  • GPO、WSUSの連携

    現在、クライアントPCのWSUS参照先を、本社にあるWSUSサーバを見に行くようにグループポリシで設定しております。 支店などから本社WSUSサーバへのWAN超え通信が多くなってきた為、支店にWSUSのレプリカを置いて、支店のユーザーだけLAN内で配信させようと考えております。 そこで、GPOのWMIフィルターで以下条件を考えてみました。 1.IPアドレスが、10.2.% の場合、http://wsustest2(支店) のGPOが適用される。 2.IPアドレスがマッチングしない場合、http://wsustest1(本社) のGPO適用される。 2のマッチング無しについては、現在のGPOを1のGPOの下に配置することで実現できるのではないかと考えております。 1のGPOに、次のWQLを書いて、IPアドレスから判断するようにしてみたのですが、どうにもうまくいきません。 select * from win32_networkadapterConfiguration where IPAddress Like '10.2.%' 質問の内容は ・WMIフィルタの書き方は、これであっておりますか? ・この環境で他に方法はありますか? です。 事情によりOUを分けるわけにはいかないため、なんとかグループポリシーのフィルターで乗り越えたいところなのですが・・・ どうぞ、宜しくお願いいたします。

  • ADに作成するグループについて教えて下さい

    ドメイン環境にグループを作成した場合、どこに格納するのが一般的なのでしょうか? 例えば「営業部OU」を作成し、その配下に営業部に所属する「営業部ユーザー」を複数人作成します。 その営業部ユーザーを「営業部グループ」を作ってそこに所属させます。 ============================ 営業部OU   ・営業部員A(営業部グループ所属)   ・営業部員B(営業部グループ所属)   ・営業部員C(営業部グループ所属) ============================ このような構成になった場合、「営業部グループ」自体のオブジェクトはどこに格納すべきなのでしょうか? 「営業部OU」に格納するか、「Users」グループに格納するか。 OUにグループポリシーはリンクしますが、グループには適用されないので、グループをOUに格納するのは見栄え以外の意味は無いですよね? 一般的にはどうするものなのでしょうか? 経験者の方、アドバイスお願いします。

  • Active Directory GPOに関して

    ドメイン環境を構築しています。 特定のユーザーにだけ、共有ファイルの読み込み、書き込みを設定したいのですが、 ファイルに個別で、許可するユーザーを設定するしか、方法は無いのでしょうか? GPO等で、特定のグループのみ共有ファイルにアクセス可能・・・なんて設定が 出来たら、嬉しいのですが・・・ Aグループ・・・許可された共有ファイルへのアクセス可! Bグループ・・・全ての共有ファイルへのアクセス不可! 基本的な質問で心苦しいのですが、皆様からの回答、よろしくお願いいたします。

  • OUのグループポリシーを適用させるには

    例えば、ドメインのグループポリシーでパスワードのポリシーを設定して、OU単位でドメインとは異なるパスワードのポリシーを設定したいのですが、OUで設定したパスワードのポリシーが適用されません。 色々と調査した所、ドメインのグループポリシーとOUのグループポリシーの両方が設定された場合は、OUのグループポリシーが適用されると書いてあるのですが・・・。 調査内容------------------------------- (1)ローカル・コンピュータのポリシー (2)サイトのポリシー (3)ドメインのポリシー (4)親OUのポリシー (5)子OUのポリシー (1)から(5)の順序でグループポリシーが適用される。 ---------------------------------------

  • ログオンスクリプトを一括して適用する方法

    環境: サーバ:Windows Server 2008 R2 Standard クライアント:XPから7まで雑多 これからユーザーを1000人ほど作成して、そのそれぞれに個人用共有フォルダを作成しなければなりません。 グループポリシーの機能で共有フォルダをドライブマップを使って、あるいはフォルダリダイレクトを使って作れることは調べてみて分かったのですが、現在すでに利用されているクライアントをドメインに追加するという形をとる都合上、ドライブマップが既に使われている可能性がある、あるいはすでにローカルの個人用フォルダにデータが入っている可能性があるため、グループポリシーが使えません。 で、個人用フォルダをデスクトップに表示するログオンスクリプトを作ったのですが、このスクリプトの扱いに困っています。 置き場所は c:\windows\sysvol\domain\scripts でよいようなのですが、ここに置いただけでは各個人に適用されません。 ユーザプロファイルのログオンスクリプトにスクリプト名を書けばよいのですが、これを1000人分行うのはちょっと気が遠くなる作業です。 そこで質問なのですが、このようにドメインユーザー全員に同じドメインスクリプトを適用するにはどのような方法があるのでしょうか?(実は私の調査不足でグループポリシーにそのような機能があるとか(^^:) あるいはやはり一人ずつユーザプロファイルにログオンスクリプト名を書かなければならないのでしょうか? ぜひ、ご意見をお聞かせください。 よろしくお願いいたします。

  • ドメンのセキュリティグループの設定方法について教えてください。

    ドメンのセキュリティグループの設定方法について教えてください。 やりたいこと。 社内にwindows2003サーバー(ドメインサーバー)があります。 アクティブディレクトリを利用して、ある特定のフォルダにセキュリティを 設定したいのです。 設定条件としては以下の通りです。 設定フォルダ 東京総務フォルダ ドメインユーザー EIGYOU_USER1 (営業ユーザー) ドメインユーザー SOUMU_USER1 (総務ユーザー) 総務フォルダは総務ユーザーのみアクセスできるようにしたいです。 ドメインはひとつです。 その場合のセキュリティグループの作成方法を教えてください。 グループとしては東京支店グループ、営業グループ・総務グループ のように作りたいです。この場合、セキュリティのグループの種類は どれを選択すれば良いのでしょうか。ドメインローカル・グローバル・ユニバーサル など、本を読んでもイマイチわかりません。 総務グループに総務ユーザーを所属させ、セキュリティ権限を与えるには どのグループが望ましいのですか。 どなたか詳しい方よろしくご教示願います。