- 締切済み
グループポリシーの優先度
win2k3でAD環境を作成し、ひとつのドメインを設定しました。 その後、管理者権限用のアカウントAを作成しました。 尚パスワードポリシーの有効期限を90日とし、がDefaultDomain Policyでは上記が有効、DefaultDomainControlPolicyでは未構成となっています。 この状態で、Aのアカウントを「パスワードを無期限にする」にチェックをした場合、どちらが優先されるのでしょうか?
- xw60059xw
- お礼率80% (16/20)
- ハードウェア・サーバー
- 回答数1
- ありがとう数1
- みんなの回答 (1)
- 専門家の回答
みんなの回答
- ani00
- ベストアンサー率37% (241/640)
こんにちわ ADの資料がない場合には購入しましょう。 基本的に厳しい方が生きです。 ただ、サーバ運営上では矛盾設定はしては駄目です。 チョー基本です。 勉強不足です。頑張って勉強してください。 私も、毎日勉強してますから。
関連するQ&A
- グループポリシーについて
いつもお世話になります。 タイトルについて、 Win2000でActiveDirectoryを採用していて グループポリシーを使ってドメイン配下のクライアントを制御しています。 ただ、ルーター越えのクライアントについて以下の設定が有効になりません。 グループポリシー ⇒ユーザーの構成 ⇒Windowsの設定 です。 グループポリシー ⇒ユーザーの構成 ⇒管理用テンプレート の方は有効になっているのですが・・・。 何かお気づきの方、お願いします。
- 締切済み
- Windows NT・2000
- グループポリシーの適用が出来ない
グループポリシーの適用について教えて下さい。 現在、Windows2003でアクティブディレクトリによるドメイン管理の環境を構築しているのですが、クライアントの時刻をログオン時にサーバー(ドメインコントローラー)の時刻と同期させたいのですが上手くいきません。 詳しい環境と条件・現象は以下の通りです。 ・サーバー:Windows2003(ADサーバ1台) ・クライアント:WindowsXP SP2(30台) ・ネットワークは社内で閉じている ・NTPサーバ機能はADサーバのサービス(Windowsタイムサービス)で起動。 ・クライアントのスタートアップにnet timeコマンドで時刻同期するバッチを置く。 ・ADのGPMCでデフォルトドメインポリシーの「コンピュータの構成 - Windowsの設定 - セキュリティの設定 - ローカルポリシー - ユーザー権利の割り当て - システム時刻の変更」を有効にしてグループ「everyone」を追加。 ・ログイン時にバッチが走るが「クライアントは要求された特権を保有していません」と表示され同期できない。 ・ドメインユーザアカウントに「domain admins」グループ追加すれば成功。(当然だが) 何か設定漏れがあるんでしょうか?
- 締切済み
- その他(ITシステム運用・管理)
- ドメインに参加している全クライアントPCのローカルポリシー>セキュリティオプションを一括で変更したい
以下の環境で、ADドメインを構築しています。 サーバ:Windows server 2003 クライアント:Win XP Pro ドメイン名:ABC.local ADアカウント:テスト環境用にtest1とtest2を作成 「セキュリティの設定」→「ローカルポリシー」→「セキュリティオプション」の設定を当ドメインに参加するクライアントPCに対して一括で設定することはできないのでしょうか? セキュリティ対策の一環として、以下のような設定を考えています。 1.パスワードの有効期限:30日 2.パスワードの最低文字数:5文字以上 3.アカウントロック失敗回数:3回 4.パスワード有効期限の何日前に変更を促すか:10日 1~3に関しては、ドメインコントローラサーバ上でグループポリシーオブジェクトを開き、「セキュリティの設定」→「アカウントポリシー」→「パスワードの設定」と「アカウントロックアウトの設定」で設定が可能で、クライアントPCが当ドメインにログインする際に確認される項目のため、全クライアントPCに対して設定しなくてもドメインコントローラ上の設定だけで大丈夫です。 ただし、4に関しては各クライアントPCで「セキュリティの設定」→「ローカルポリシー」→「セキュリティオプション」の設定を変更すれば大丈夫ですが、ドメインコントローラ上で同じ設定をしても各クライアントPCには適用されません。(←ドメインコントローラマシンに対してのみのローカル設定という意味だと思うので当然だとは思いますが) どなたか、ドメインに参加するクライアントPCに一括で「ローカルポリシー」→「セキュリティオプション」を設定する方法をご存知でしたら教えてください。
- 締切済み
- その他(ITシステム運用・管理)
- パスワードポリシーについて
Windowsサーバ構築時について教えてください。 構築したサーバをドメイン参加させた後に、ローカルユーザを作成しようとしたのですが、パスワードポリシーがローカルポリシーでユーザ作成ができず、ドメインのパスワードポリシーでなくては作成ができません。このようになる原因について教えていただけませんでしょうか?また、ローカルポリシーでのユーザ作成はできないのでしょうか?
- 締切済み
- Windows系OS
- グループポリシーが適用されません
プロキシのグループサーバが当たらずに困っています。 環境はというと、Windows 2008 R2のトップドメインのドメコンにOUを作成し、その中にセキュリティグループを作り、そのセキュリティグループの中にユーザーが入っています。 そして、サブドメコンにクライアントPCがログオンするという形をとっています。 (ユーザーはトップドメコンにいるので、どこのサブドメコンでもログオンできるようにという考えです。) そこで、トップドメインのOUにリンクするグループポリシーを作成し、 「ユーザーの構成」-「ポリシー」-「Windowsの設定」-「Internet Explorerのメンテナンス」-「接続」- 「プロキシの設定」 にプロキシの設定を記入しています。 ところが、上記の設定が適用されません。 ためしに、トップドメインのDefault Domain Policyにプロキシの設定を記入するとそれはちゃんと適用されます。 もしかしたら、OUにリンクしたグループポリシーというのはセキュリティグループでネストされるユーザーには適用されないのでしょうか? それとも全く見当違いの設定をしているのでしょうか? ぜひ、ご教示をお願いいたします。
- ベストアンサー
- Windows系OS
- グループポリシーでログオンスクリプトが実行されない
Windows Server 2003でドメインを構築しています。 クライアントのOSはXPです。 ドメイン参加しているユーザー・コンピューターの電源オプションを グループポリシー(GPMC)で一括変更したいのですが、 ログオン時にバッチが実行されません。 <設定手順> 1.グループポリシーの管理画面 グループポリシーオブジェクトグループポリシーを作成。 2.グループポリシー オブジェクトエディタ ユーザーの構成→Windowsの設定→スクリプト(ログオン/ログオフ) 3.ログオンのプロパティで、ファイルを指定 4.組織単位に作成したGPOをリンク 以下のサイトを参考に設定しています。 グループ・ポリシーとpowercfg.exeコマンドで電源オプションの設定を変更する http://www.atmarkit.co.jp/fwin2k/win2ktips/1026pcfgpolicy/pcfgpolicy.html Powercfg.exe を使用して Windows XP で 電源設定のグループ ポリシー オブジェクトを作成する方法 http://support.microsoft.com/kb/915160/ja Windows Server 2003のADで電源管理 http://ap.atmarkit.co.jp/bbs/core/fwin/19047 ※電源設定のバッチファイルは、以下のサイトと同じソースです。 http://www.atmarkit.co.jp/fwin2k/win2ktips/1013powercfg/powercfg.html 電源の設定はレジストリの変更が絡むのが原因かと思い、 レジストリに関係ない別のバッチでも試してみましたが、 同様に実行されませんでした。 バッチファイルは以下のサイトからダウンロードしたものを使用しています。 ドメインユーザのデスクトップで実行したところ実行されました。 日付フォルダ作成 http://pcbase.web.infoseek.co.jp/bat/makefolder01.htm どうしてバッチが実行されないのか、原因が分かりません。 それと、2003・XPの環境では、 グループポリシーとバッチでの電源管理は可能でしょうか? よろしくお願いします。
- 締切済み
- その他(ITシステム運用・管理)
- AD環境のアカウントのパスワード有効期限の設定はBuiltinのドメインAdministratorにも適用されるのでしょうか?
ADサーバ環境でドメインが構築されています。 ADサーバ:Windows 2003 server ドメイン参加サーバ:Windows 2003 server x5台 クライアントPC:XP Pro x100台 ドメイン名(仮名):ABC.local ・ADのアカウントをクライアントPCユーザ用に100アカウント作成されています。 ・ドメイン参加サーバ5台にはすべて、BuiltinのドメインAdministratorアカウントでログインしています。 ・ABC.localドメイン全体のセキュリティポリシーとして、Default Domain Policyを以下のように編集します。 -パスワードの有効期限=30日 この環境の場合、パスワードの有効期限が適用されるのはクライアントPC用ユーザの100アカウントだけでなく、BuiltinのドメインAdministratorアカウントにも適用されてしまうのでしょうか? クライアント用ユーザ100アカウントのパスワードだけ、変更要求を出したいと思っています。 ドメインAdministratorのパスワードまで変更しなくてもすむような設定、回避方法はありますでしょうか? 教えていただけますと大変助かります。
- ベストアンサー
- その他(ITシステム運用・管理)
- グループポリシーでFirewall ポリシー管理
いつも勉強させて頂いております。 Windows Server 2008 R2でドメインを構成しております。 グループポリシーを利用して、各メンバーサーバでのWindowsファイアウォール設定を一元管理したいのですが、すべてのメンバーサーバに同一の設定内容を割り当てるのではなく、 複数のサーバ単位で、Windowsファイアウォール設定を管理したいと考えております。 (例) サーバA,B,Cは、同一のWindowsファイアウォール設定ポリシー#1を割り当てる。 サーバD,Eは、Windowsファイアウォール設定ポリシー#1ではなく、Windowsファイアウォール設定ポリシー#2を割り当てる。 グループポリシーで、Windowsファイアウォール設定ポリシーを複数作成して、 そのポリシーが該当するそれぞれのサーバに割り当てることは可能でしょうか。 デフォルトですと、メンバーサーバは、"Servers"(?)とかのビルトインOUに組み込まれてしまうため、 グループポリシーを作成しても、Windowsファイアウォール設定ポリシーは、全メンバーサーバに 適用されてしまいそうな気がします。 それとも、メンバーサーバについて、デフォルトで所属する"Servers(?)"以外のOU(運用形態に応じて手動作成したもの)に移動して、OU単位で、メンバーサーバにWindowsファイアウォール設定ポリシーを割り当てることが出来るのでしょうか。 ご教示のほど、宜しくお願い申し上げます。
- ベストアンサー
- Windows系OS
- プロファイル、ポリシーについて
すみません、たびたび… Win2KやNTに出てくる「プロファイル」…これがどうしても自分の中でつかめません。 また、「グループポリシー、だとかローカルセキュリティポリシー、ドメインコントローラセキュリティポリシー、ドメインポリシー」など、、 どういうものなのかということと、更に、なんていうか、身近なものにたとえて解りやすく表現してくださるともっとうれしいです。 どなたか、よろしくお願いいたします。
- 締切済み
- Windows NT・2000
- グループポリシーでインターネット接続をさせなくする
Windows2003Serverのドメイン環境を使用しています。 一般ユーザーには管理者権限を与えていないため、インストールに最低限必要な環境のみを用意する管理者権限のアカウントを作成し、必要に応じてこのアカウントを開放して、必要な作業をしてもらう運用にしようと考えています。 前提条件として、インターネットに接続できないような環境を構築することが必要です。 試行錯誤で辿り着いた方法は、 1.IEのインターネットオプションの「接続」タブでプロキシサーバーをダミーにする 2.IEのインターネットオプションの「接続」タブを見えなくする ようなスクリプトをログスクリプトとして起動するようなポリシーを作るというものです。 これは取りあえずはうまくいったのですが、困ったことに、社内サーバーまでがアクセスできなくなってしまいました。hostsファイルで名前解決しているサーバーをhttpで呼ぶ場合は問題無いのですが、社内サーバーからActiveXを配信してインストールする場合は、アクセスできないのです。 IEのコンテンツアドバイザ機能で、接続可能なサーバーを簡単に指定できるようですが、2003のADでは、グループポリシーとして設定できないようです。 ダミーのプロキシではなく、社外サイトへ通さないような設定をしたプロキシを通すのが正攻法だとは思うのですが、そこまでの知識もなく、余分なマシンもないのが実情です。 これ以外にインターネット接続を禁止することのできる方法がありましたら、教えて頂けないでしょうか?(ブラウザはIE限定でもよいと思っています。)
- ベストアンサー
- ネットワーク
お礼
意見ありがとうございます。