グループポリシーでFirewall ポリシー管理
- Windows Server 2008 R2でドメインを構成しております。グループポリシーを利用して、各メンバーサーバでのWindowsファイアウォール設定を一元管理したいのですが、複数のサーバ単位で、Windowsファイアウォール設定を管理したいと考えております。
- サーバA,B,Cは、同一のWindowsファイアウォール設定ポリシー#1を割り当てる。サーバD,Eは、Windowsファイアウォール設定ポリシー#1ではなく、Windowsファイアウォール設定ポリシー#2を割り当てる。
- グループポリシーで、Windowsファイアウォール設定ポリシーを複数作成して、そのポリシーが該当するそれぞれのサーバに割り当てることは可能でしょうか。デフォルトですと、メンバーサーバは、'Servers'とかのビルトインOUに組み込まれてしまうため、グループポリシーを作成しても、Windowsファイアウォール設定ポリシーは、全メンバーサーバに適用されてしまいそうな気がします。それとも、メンバーサーバについて、デフォルトで所属する'Servers'以外のOUに移動して、OU単位で、メンバーサーバにWindowsファイアウォール設定ポリシーを割り当てることが出来るのでしょうか。
- ベストアンサー
グループポリシーでFirewall ポリシー管理
いつも勉強させて頂いております。 Windows Server 2008 R2でドメインを構成しております。 グループポリシーを利用して、各メンバーサーバでのWindowsファイアウォール設定を一元管理したいのですが、すべてのメンバーサーバに同一の設定内容を割り当てるのではなく、 複数のサーバ単位で、Windowsファイアウォール設定を管理したいと考えております。 (例) サーバA,B,Cは、同一のWindowsファイアウォール設定ポリシー#1を割り当てる。 サーバD,Eは、Windowsファイアウォール設定ポリシー#1ではなく、Windowsファイアウォール設定ポリシー#2を割り当てる。 グループポリシーで、Windowsファイアウォール設定ポリシーを複数作成して、 そのポリシーが該当するそれぞれのサーバに割り当てることは可能でしょうか。 デフォルトですと、メンバーサーバは、"Servers"(?)とかのビルトインOUに組み込まれてしまうため、 グループポリシーを作成しても、Windowsファイアウォール設定ポリシーは、全メンバーサーバに 適用されてしまいそうな気がします。 それとも、メンバーサーバについて、デフォルトで所属する"Servers(?)"以外のOU(運用形態に応じて手動作成したもの)に移動して、OU単位で、メンバーサーバにWindowsファイアウォール設定ポリシーを割り当てることが出来るのでしょうか。 ご教示のほど、宜しくお願い申し上げます。
- OKwave1122
- お礼率100% (3/3)
- Windows系OS
- 回答数1
- ありがとう数2
- みんなの回答 (1)
- 専門家の回答
質問者が選んだベストアンサー
>グループポリシーで、Windowsファイアウォール設定ポリシーを複数作成して、 >そのポリシーが該当するそれぞれのサーバに割り当てることは可能でしょうか。 もちろん可能です。 たとえば、こんな方法があります。 1.OUを分ける 2.セキュリティグループを利用する 3.WMIフィルタを使用する 2,3については説明しませんが今後時間があれば調査してみて下さい。 (多少難しいかもしれませんし、OUだけでは対応できない場合の回避策のような使い方をする場合が多いように思います) >デフォルトですと、メンバーサーバは、"Servers"(?)とかのビルトインOUに組み込まれてしまうため、 >グループポリシーを作成しても、Windowsファイアウォール設定ポリシーは、全メンバーサーバに適用されてしまいそうな気がします。 Active Directoryのデフォルトでは意図的に変えない限りComputersコンテナ(OUではありません)にコンピュータアカウントが作成されます。 もしServersというOUがあるのならばこれは後から作成したものです。 コンテナとOUの大きな違いはグループポリシーをリンク出来るかですが、詳しいことは調査してみて下さい。 また、グループポリシーはリンクする位置で適用範囲が変わりますのでどのように適用されるかは階層構造から判断します。 読んでいなければ以下を参考にして下さい。 http://www.atmarkit.co.jp/fwin2k/tutor/gpolicy05/gpolicy05_02.html ServersというOUがあるのならばこれにリンクすればOU内のコンピュータにポリシーが適用されます。 ドメインにグループポリシーをリンクすれば全てに適用されます。 かぶった場合は優先順位も影響しますので注意して下さい。 >それとも、メンバーサーバについて、デフォルトで所属する"Servers(?)"以外のOU(運用形態に応じて手動作成したもの)に移動して、OU単位で、メンバーサーバにWindowsファイアウォール設定ポリシーを割り当てることが出来るのでしょうか。 手動で移動するか、初めからそれぞれOUにコンピュータアカウントを作成するかという話はありますが、 通常、ポリシーが異なる毎のコンピュータやユーザーの群に対してOUを作成するようにActive Directoryを設計するので、このようなOU単位でポリシーを設定するやり方が一般的であります。
関連するQ&A
- グループポリシーが適用されません
プロキシのグループサーバが当たらずに困っています。 環境はというと、Windows 2008 R2のトップドメインのドメコンにOUを作成し、その中にセキュリティグループを作り、そのセキュリティグループの中にユーザーが入っています。 そして、サブドメコンにクライアントPCがログオンするという形をとっています。 (ユーザーはトップドメコンにいるので、どこのサブドメコンでもログオンできるようにという考えです。) そこで、トップドメインのOUにリンクするグループポリシーを作成し、 「ユーザーの構成」-「ポリシー」-「Windowsの設定」-「Internet Explorerのメンテナンス」-「接続」- 「プロキシの設定」 にプロキシの設定を記入しています。 ところが、上記の設定が適用されません。 ためしに、トップドメインのDefault Domain Policyにプロキシの設定を記入するとそれはちゃんと適用されます。 もしかしたら、OUにリンクしたグループポリシーというのはセキュリティグループでネストされるユーザーには適用されないのでしょうか? それとも全く見当違いの設定をしているのでしょうか? ぜひ、ご教示をお願いいたします。
- ベストアンサー
- Windows系OS
- OUのグループポリシーを適用させるには
例えば、ドメインのグループポリシーでパスワードのポリシーを設定して、OU単位でドメインとは異なるパスワードのポリシーを設定したいのですが、OUで設定したパスワードのポリシーが適用されません。 色々と調査した所、ドメインのグループポリシーとOUのグループポリシーの両方が設定された場合は、OUのグループポリシーが適用されると書いてあるのですが・・・。 調査内容------------------------------- (1)ローカル・コンピュータのポリシー (2)サイトのポリシー (3)ドメインのポリシー (4)親OUのポリシー (5)子OUのポリシー (1)から(5)の順序でグループポリシーが適用される。 ---------------------------------------
- ベストアンサー
- Windows系OS
- グループポリシーとファイアウォール
友達のパソコンがインターネットがつながらなくて困っています。 一瞬つながるのですが、すぐに「ページは表示できません」となってしまいます。 色々見てみたら、ファイアウォールの設定が無効になっていて、グレイになった状態で変更できなくなっています。 セキュリティのため、グループポリシーで制御される設定があります。 と、表示されています。 思い当たるのは、すごく古いバージョンのウイルスバスターです。 パスワードがわからずアンインストールができませんでした。 トレンドマイクロのサイトで調べたら、既にサポートされておらず、その後のバージョンの手動アンインストールの方法を参考に削除しましたが、ファイアウォールは無効のまま変更できません。 ファイル名を指定して実行からmmcと入力し、スナップインの追加と削除を見てもグループポリシーがありません。 レジストリからwindowsfirewallのenablefirewallの値を0から1に変えても無効のままです。 他にグループポリシーでファイアウォールの設定を変える方法はありませんか? windows XP SP2です。 HDDのクローンを作ってSP3にしてみましたが、インターネットに接続はできませんでした。 クローンのレジストリは、触る前にフォーマットしてしまったので、SP3でレジストリのwindowsfirewallを変更は試していません。SP3ならできるのでしょうか? よろしくお願いいたします。
- 締切済み
- Windows XP
- Active Directory ローカルコンピュータポリシーを初期状態に戻したい
こんにちは 会社でW2K3 Server でActiveDirectoryを使用してドメインの管理を行っています。 調べたところ、 ActiveDirectoryのポリシーはDefault Domain Policyを直接変更せず、新規にポリシーを作成し、それをOUに付与する方法が望ましいようです。 今回、ドメインのポリシーを変更する予定でしたが、 一度既にDefault Domain Policyを変更しており、その設定内容が ローカルコンピュータポリシーに反映されています。 そのため、ローカルコンピュータポリシーが最終的に効いてしまい、どんなポリシーを作成しても有効になりません。 これをインストール時の綺麗な状態(初期状態)に戻すことは可能でしょうか? 或いは、現在のローカルコンピュータポリシーを無効になれば、 既存のOU単位で付与しているポリシーが有効になるのでしょうか? 宜しくお願いいたいます。
- ベストアンサー
- その他(ITシステム運用・管理)
- ActiveDirectoryポリシーの設定が
ActiveDirectoryで部署ごとにOUグループを作成して管理しています。 そのOUグループ毎にポリシーを設定して適用しているのですが バッチファイルを実行するポリシー(※以下ポリシーA)だけ一部のOUグループに適用されません。 ポリシーAを設定してgpupdate /forceで適用をかけてみるのですが変わりません。 gpresult /Zで適用状況を確認すると【フィルターで除外された】と表示されました。 このフィルターの設定の解除方法もしくはフィルターに引っかからないようにするにはどうすればよいのでしょうか?
- 締切済み
- その他(ITシステム運用・管理)
- グループポリシーで、ログオン時にメッセージを表示
Windows Server 2008R2 ActiveDirectoryのグループポリシーには、「コンピューターの構成」と「ユーザーの構成」があります。 現在のグループポリシーは、OUの中に「ユーザーアカウント」を作成して、「ユーザーの構成」「ポリシー」「管理用テンプレート」で設定しています。 今回、「対話型ログオン:ログオン時のユーザーへのメッセージのタイトル/メッセージ」を設定したいのですが、このポリシーは「ユーザーの構成」ではなく「コンピューターの構成」で設定することが解りました。 確かに、OUの内に「コンピューターアカウント」を作成して、「コンピューターの構成」「ポリシー」「Windowsの設定」・・・で設定すると、ログオン時にメッセージを表示させることが出来ますが、この「コンピューターの構成」内には「デスクトップ」関連のポリシーがありません。 どのようにすれば、現在設定してあるポリシーに「対話型ログオン:ログオン時・・・」を加えることが出来るのでしょうか? もしかしたらActiveDirectoryへのユーザー/コンピューター新規作成あたりから間違えているのかもしれません。 クライアントはXP-Pro SP3です。 小生、勉強不足で説明が足りないかもしれませんが、ご教示の程、よろしくお願いいたします。
- ベストアンサー
- Windows系OS
- グループポリシー(壁紙の設定)について
Active directoryをインストールしたサーバ(windows 2000 server)を利用して ユーザに統一された壁紙を設定するために、設定したいOUを選択して、グループポリシーを起動させて 画面右端の"ツリー"の[ユーザの構成]→[管理用テンプレート]→[デスクトップ]→[Active desktop(以下Ad)]と展開して "Adを有効にする"を有効にして、"Adの壁紙"を有効にし、壁紙名と壁紙のスタイルを指定しました。 そして、そのOUに属するユーザでクライアントPCからドメインにログオンしたところ、指定した壁紙は表示されるのですが、それまで表示されていたデスクトップアイコンが非表示になってしまいました。 ユーザがログオン時に"壁紙もデスクトップアイコンも"表示させられるようなグループポリシーの設定方法を教えてください。 よろしく、お願いします。
- ベストアンサー
- ハードウェア・サーバー
- グループポリシーの適用が出来ない
グループポリシーの適用について教えて下さい。 現在、Windows2003でアクティブディレクトリによるドメイン管理の環境を構築しているのですが、クライアントの時刻をログオン時にサーバー(ドメインコントローラー)の時刻と同期させたいのですが上手くいきません。 詳しい環境と条件・現象は以下の通りです。 ・サーバー:Windows2003(ADサーバ1台) ・クライアント:WindowsXP SP2(30台) ・ネットワークは社内で閉じている ・NTPサーバ機能はADサーバのサービス(Windowsタイムサービス)で起動。 ・クライアントのスタートアップにnet timeコマンドで時刻同期するバッチを置く。 ・ADのGPMCでデフォルトドメインポリシーの「コンピュータの構成 - Windowsの設定 - セキュリティの設定 - ローカルポリシー - ユーザー権利の割り当て - システム時刻の変更」を有効にしてグループ「everyone」を追加。 ・ログイン時にバッチが走るが「クライアントは要求された特権を保有していません」と表示され同期できない。 ・ドメインユーザアカウントに「domain admins」グループ追加すれば成功。(当然だが) 何か設定漏れがあるんでしょうか?
- 締切済み
- その他(ITシステム運用・管理)
- Windows Server 2003のポリシーで、端末のWindowsファイアウォールを無効にする設定
お世話になっております。 ご教授ください。 ドメイン参加しているクライント全部のWindowsファイアウォールを無効にするしたいのですが、Windows Server 2003のポリシーで一気にしたいと考えてますが、可能でしょうか? また、可能なら、どこで設定すればよいでしょうか。 ご教授いただければと存じます。 Windows Server 2003のポリシーで、Windowsファイアウォールを無効にする設定
- ベストアンサー
- Windows系OS
- Win2003グループポリシーが別サイトのクライアントに適用されません
教えてください。 Windows2003で1ドメインを3つのサイトにわけ、各サイトは、NTTのグループアクセスにてVPN接続しています。 各サイトはサイトリンクを行い、各サイトにグローバルカタログサーバを配置(サイトリンク)しています。 このドメイン内のOUにグループポリシーを設定したのですが、最初にドメインコントローラを設置したサイト(元々のグローバルカタログサーバがあるサイト)内のクライアントには、グループポリシーが適用されるのですが、他のサイトのクライアントには適用されません。 グループポリシーを設定しているOUには、各サイトのクライアントとなるユーザーを設定しています。 サイトリンクが上手くできていないのでしょうか。 教えてください。宜しくお願い致します。
- ベストアンサー
- Windows系OS
お礼
早速のご教示有難うございました。 手短で大変恐縮ですが、心よりご教示頂き、誠に感謝致します。 本当に有難うございました。