• ベストアンサー
  • すぐに回答を!

グループポリシーでFirewall ポリシー管理

いつも勉強させて頂いております。 Windows Server 2008 R2でドメインを構成しております。 グループポリシーを利用して、各メンバーサーバでのWindowsファイアウォール設定を一元管理したいのですが、すべてのメンバーサーバに同一の設定内容を割り当てるのではなく、 複数のサーバ単位で、Windowsファイアウォール設定を管理したいと考えております。 (例) サーバA,B,Cは、同一のWindowsファイアウォール設定ポリシー#1を割り当てる。 サーバD,Eは、Windowsファイアウォール設定ポリシー#1ではなく、Windowsファイアウォール設定ポリシー#2を割り当てる。 グループポリシーで、Windowsファイアウォール設定ポリシーを複数作成して、 そのポリシーが該当するそれぞれのサーバに割り当てることは可能でしょうか。 デフォルトですと、メンバーサーバは、"Servers"(?)とかのビルトインOUに組み込まれてしまうため、 グループポリシーを作成しても、Windowsファイアウォール設定ポリシーは、全メンバーサーバに 適用されてしまいそうな気がします。 それとも、メンバーサーバについて、デフォルトで所属する"Servers(?)"以外のOU(運用形態に応じて手動作成したもの)に移動して、OU単位で、メンバーサーバにWindowsファイアウォール設定ポリシーを割り当てることが出来るのでしょうか。 ご教示のほど、宜しくお願い申し上げます。

共感・応援の気持ちを伝えよう!

  • 回答数1
  • 閲覧数650
  • ありがとう数2

質問者が選んだベストアンサー

  • ベストアンサー
  • 回答No.1
  • maesen
  • ベストアンサー率81% (646/790)

>グループポリシーで、Windowsファイアウォール設定ポリシーを複数作成して、 >そのポリシーが該当するそれぞれのサーバに割り当てることは可能でしょうか。 もちろん可能です。 たとえば、こんな方法があります。 1.OUを分ける 2.セキュリティグループを利用する 3.WMIフィルタを使用する 2,3については説明しませんが今後時間があれば調査してみて下さい。 (多少難しいかもしれませんし、OUだけでは対応できない場合の回避策のような使い方をする場合が多いように思います) >デフォルトですと、メンバーサーバは、"Servers"(?)とかのビルトインOUに組み込まれてしまうため、 >グループポリシーを作成しても、Windowsファイアウォール設定ポリシーは、全メンバーサーバに適用されてしまいそうな気がします。 Active Directoryのデフォルトでは意図的に変えない限りComputersコンテナ(OUではありません)にコンピュータアカウントが作成されます。 もしServersというOUがあるのならばこれは後から作成したものです。 コンテナとOUの大きな違いはグループポリシーをリンク出来るかですが、詳しいことは調査してみて下さい。 また、グループポリシーはリンクする位置で適用範囲が変わりますのでどのように適用されるかは階層構造から判断します。 読んでいなければ以下を参考にして下さい。 http://www.atmarkit.co.jp/fwin2k/tutor/gpolicy05/gpolicy05_02.html ServersというOUがあるのならばこれにリンクすればOU内のコンピュータにポリシーが適用されます。 ドメインにグループポリシーをリンクすれば全てに適用されます。 かぶった場合は優先順位も影響しますので注意して下さい。 >それとも、メンバーサーバについて、デフォルトで所属する"Servers(?)"以外のOU(運用形態に応じて手動作成したもの)に移動して、OU単位で、メンバーサーバにWindowsファイアウォール設定ポリシーを割り当てることが出来るのでしょうか。 手動で移動するか、初めからそれぞれOUにコンピュータアカウントを作成するかという話はありますが、 通常、ポリシーが異なる毎のコンピュータやユーザーの群に対してOUを作成するようにActive Directoryを設計するので、このようなOU単位でポリシーを設定するやり方が一般的であります。

共感・感謝の気持ちを伝えよう!

質問者からのお礼

早速のご教示有難うございました。 手短で大変恐縮ですが、心よりご教示頂き、誠に感謝致します。 本当に有難うございました。

関連するQ&A

  • OUのグループポリシーを適用させるには

    例えば、ドメインのグループポリシーでパスワードのポリシーを設定して、OU単位でドメインとは異なるパスワードのポリシーを設定したいのですが、OUで設定したパスワードのポリシーが適用されません。 色々と調査した所、ドメインのグループポリシーとOUのグループポリシーの両方が設定された場合は、OUのグループポリシーが適用されると書いてあるのですが・・・。 調査内容------------------------------- (1)ローカル・コンピュータのポリシー (2)サイトのポリシー (3)ドメインのポリシー (4)親OUのポリシー (5)子OUのポリシー (1)から(5)の順序でグループポリシーが適用される。 ---------------------------------------

  • グループポリシーで、ログオン時にメッセージを表示

    Windows Server 2008R2 ActiveDirectoryのグループポリシーには、「コンピューターの構成」と「ユーザーの構成」があります。 現在のグループポリシーは、OUの中に「ユーザーアカウント」を作成して、「ユーザーの構成」「ポリシー」「管理用テンプレート」で設定しています。 今回、「対話型ログオン:ログオン時のユーザーへのメッセージのタイトル/メッセージ」を設定したいのですが、このポリシーは「ユーザーの構成」ではなく「コンピューターの構成」で設定することが解りました。 確かに、OUの内に「コンピューターアカウント」を作成して、「コンピューターの構成」「ポリシー」「Windowsの設定」・・・で設定すると、ログオン時にメッセージを表示させることが出来ますが、この「コンピューターの構成」内には「デスクトップ」関連のポリシーがありません。 どのようにすれば、現在設定してあるポリシーに「対話型ログオン:ログオン時・・・」を加えることが出来るのでしょうか? もしかしたらActiveDirectoryへのユーザー/コンピューター新規作成あたりから間違えているのかもしれません。 クライアントはXP-Pro SP3です。 小生、勉強不足で説明が足りないかもしれませんが、ご教示の程、よろしくお願いいたします。

  • グループポリシーが適用されません

    プロキシのグループサーバが当たらずに困っています。 環境はというと、Windows 2008 R2のトップドメインのドメコンにOUを作成し、その中にセキュリティグループを作り、そのセキュリティグループの中にユーザーが入っています。 そして、サブドメコンにクライアントPCがログオンするという形をとっています。 (ユーザーはトップドメコンにいるので、どこのサブドメコンでもログオンできるようにという考えです。) そこで、トップドメインのOUにリンクするグループポリシーを作成し、 「ユーザーの構成」-「ポリシー」-「Windowsの設定」-「Internet Explorerのメンテナンス」-「接続」- 「プロキシの設定」 にプロキシの設定を記入しています。 ところが、上記の設定が適用されません。 ためしに、トップドメインのDefault Domain Policyにプロキシの設定を記入するとそれはちゃんと適用されます。 もしかしたら、OUにリンクしたグループポリシーというのはセキュリティグループでネストされるユーザーには適用されないのでしょうか? それとも全く見当違いの設定をしているのでしょうか? ぜひ、ご教示をお願いいたします。

  • Active Directoryのグループポリシーについて質問です。

    Active Directoryのグループポリシーについて質問です。 環境は、Windows 2008 R2です。 グループポリシーでは、「コンピューターの構成」と「ユーザーの構成」を 一つのポリシーに含められます。 上記の両方共を設定したグループポリシーを、 ユーザーのみを配下に持つ(コンピューターは配下にない)OUにリンクした場合、 「コンピューターの構成」は、使われない事になるのでしょうか?

  • ActiveDirectoryポリシーの設定が

    ActiveDirectoryで部署ごとにOUグループを作成して管理しています。 そのOUグループ毎にポリシーを設定して適用しているのですが バッチファイルを実行するポリシー(※以下ポリシーA)だけ一部のOUグループに適用されません。 ポリシーAを設定してgpupdate /forceで適用をかけてみるのですが変わりません。 gpresult /Zで適用状況を確認すると【フィルターで除外された】と表示されました。 このフィルターの設定の解除方法もしくはフィルターに引っかからないようにするにはどうすればよいのでしょうか?

  • グループポリシーの適用が出来ない

    グループポリシーの適用について教えて下さい。 現在、Windows2003でアクティブディレクトリによるドメイン管理の環境を構築しているのですが、クライアントの時刻をログオン時にサーバー(ドメインコントローラー)の時刻と同期させたいのですが上手くいきません。 詳しい環境と条件・現象は以下の通りです。 ・サーバー:Windows2003(ADサーバ1台) ・クライアント:WindowsXP SP2(30台) ・ネットワークは社内で閉じている ・NTPサーバ機能はADサーバのサービス(Windowsタイムサービス)で起動。 ・クライアントのスタートアップにnet timeコマンドで時刻同期するバッチを置く。 ・ADのGPMCでデフォルトドメインポリシーの「コンピュータの構成 - Windowsの設定 - セキュリティの設定 - ローカルポリシー - ユーザー権利の割り当て - システム時刻の変更」を有効にしてグループ「everyone」を追加。 ・ログイン時にバッチが走るが「クライアントは要求された特権を保有していません」と表示され同期できない。 ・ドメインユーザアカウントに「domain admins」グループ追加すれば成功。(当然だが) 何か設定漏れがあるんでしょうか?

  • Win2003グループポリシーが別サイトのクライアントに適用されません

    教えてください。 Windows2003で1ドメインを3つのサイトにわけ、各サイトは、NTTのグループアクセスにてVPN接続しています。 各サイトはサイトリンクを行い、各サイトにグローバルカタログサーバを配置(サイトリンク)しています。 このドメイン内のOUにグループポリシーを設定したのですが、最初にドメインコントローラを設置したサイト(元々のグローバルカタログサーバがあるサイト)内のクライアントには、グループポリシーが適用されるのですが、他のサイトのクライアントには適用されません。 グループポリシーを設定しているOUには、各サイトのクライアントとなるユーザーを設定しています。 サイトリンクが上手くできていないのでしょうか。 教えてください。宜しくお願い致します。

  • グループポリシーについて

    いつもお世話になります。 タイトルについて、 Win2000でActiveDirectoryを採用していて グループポリシーを使ってドメイン配下のクライアントを制御しています。 ただ、ルーター越えのクライアントについて以下の設定が有効になりません。 グループポリシー  ⇒ユーザーの構成   ⇒Windowsの設定 です。 グループポリシー  ⇒ユーザーの構成   ⇒管理用テンプレート の方は有効になっているのですが・・・。 何かお気づきの方、お願いします。

  • Active Directory ローカルコンピュータポリシーを初期状態に戻したい

    こんにちは 会社でW2K3 Server でActiveDirectoryを使用してドメインの管理を行っています。 調べたところ、 ActiveDirectoryのポリシーはDefault Domain Policyを直接変更せず、新規にポリシーを作成し、それをOUに付与する方法が望ましいようです。 今回、ドメインのポリシーを変更する予定でしたが、 一度既にDefault Domain Policyを変更しており、その設定内容が ローカルコンピュータポリシーに反映されています。 そのため、ローカルコンピュータポリシーが最終的に効いてしまい、どんなポリシーを作成しても有効になりません。 これをインストール時の綺麗な状態(初期状態)に戻すことは可能でしょうか? 或いは、現在のローカルコンピュータポリシーを無効になれば、 既存のOU単位で付与しているポリシーが有効になるのでしょうか? 宜しくお願いいたいます。

  • グループポリシーを設定したら戻せなくなってしまいました

    色々な実行制限をかける場合に gpedit.mscでグループポリシーを設定すると思うのですが、ここで ローカルコンピュータポリシー  コンピュータの設定   Windowsの設定    セキュリティの設定     ソフトウェア制限のポリシー      追加の規則 で画像にあるようにすべてのパスの実行を許可しないに変更しました。 すると電卓やペイントブラシ、ノートパットが使えなくなりました。 で、ここまでは良かったのですが。 つい、グループポリシーのウィンドウを閉じてしまったところ するとgpedit.msc自体も起動しなくなってしまい、 元に戻せなくなってしまいました。(>_<) こういった場合、どのように元にもどせばいいのでしょうか。 よろしくお願いします。