[PR]上記の広告は3ヶ月以上新規記事投稿のないブログに表示されています。新しい記事を書く事で広告が消えます。
公式ページや参考資料は見つかったが、検証したひとがいるだろうか。
(質問)
Windows Server 2008におけるグループポリシーについて
こんにちは。
現在、Win2K8(R2ではありません)のAD環境を構築し、クライアントPC(WinXP)をグループポリシーで管理しています。
また、この1年以内にクライアントPCをWin7へバージョンアップすることを計画しており、グループポリシーまわりの検証を行っているところです。
さて、この検証の中でいくつか疑問が浮上し、Webサイトやリソースキットなどで調べたものの有益な情報を探し出すことができなかったため、質問させていただきます。
1.Win2K8のデフォルトの管理用テンプレート(ADMXファイル)には、Win7向けの設定がありません。そこで、Win7のように新しいクライアントOSに対応させるためにテンプレートを更新するには、どうすればよろしいのでしょうか。ちなみに、当方の調査では、Win7上のADMXファイルをWin2K8側へ上書きするしかないように思えるのですが、これが正しい手順なのでしょうか?
2.「グループポリシーの基本設定」には、ADMXファイルのようなテンプレートファイルが存在するのでしょうか。
もし存在するのであれば、1と同様にWin7などの新しいOSへ対応させるためには、どうすればよろしいのでしょうか。
3.クライアントPC側で「グループポリシー」の適用状況を調べるには、RSoPで確認することができますが、同様に「グループポリシーの基本設定」の適用状況を調べるには、どうすればよろしいでしょうか。
実は、2と3については、「グループポリシーの基本設定」でフォルダオプションを設定したものの、Win7側に正常に適用されません(ドライブのマッピングは正常に動作しました)。そこで、Win2K8デフォルトの「グループポリシーの基本設定」のテンプレートでWin7を制御することが出来るのかということも知りたく、質問させていただきました。
---------------------------
(回答)
こんにちは、フォーラムオペレーターの○○○○です。
新しい OS 用に追加されたポリシーについては、古い OS のドメインコントローラー上ではなく、新しい OS 上で管理していただければと思います。
今回の場合は、ドメインメンバーの Windows 7(もしくは Win2008R2) 上にリモート サーバー管理ツールをインストールし、Windows 7 上でグループ ポリシー管理ツール(gpmc.msc)を使用してグループポリシーの設定・管理を行ってください。
(詳細については長くなると思いますので省略させていただきます)
- 参考情報
Windows 7 用のリモート サーバー管理ツール
http://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=7d2f6ad7-656b-4313-a005-4e344e43997d
RSATツールでWindows Server 2008をリモート管理する
http://www.atmarkit.co.jp/fwin2k/win2ktips/1031rsat/rsat.html
グループ・ポリシー管理を強力に支援するGPMCを活用する
http://www.atmarkit.co.jp/fwin2k/win2ktips/298gpmc/gpmc.html
新OSで追加されたグループ・ポリシーの設定項目を利用するには?
http://itpro.nikkeibp.co.jp/article/COLUMN/20070123/259291/
【解説】新OSで追加されたグループ・ポリシーの設定項目を利用するには?
http://202.214.174.88/article/COLUMN/20070123/259314/
(こちらでは、Win2003 の DC と Vista の組み合わせについて説明があります)
適用結果については、RSoP.msc や コマンド(gpresult /z) などで確認できると思います。
ADMX ファイルについては下記の情報などを参照してください。
(ADMX ファイルは Windows 7 上に保存されています)
- 参考情報
ADMX ファイルを使用してグループ ポリシー オブジェクトを編集するための要件
http://technet.microsoft.com/ja-jp/library/cc722037(WS.10).aspx
group policyのcentral store ってどういう機能でしょうか?
http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/6f79f162-812e-4b89-9186-f70ec3d8b4a0
それでは、こちらの情報が少しでもお役にたてれば幸いです。
______________________________________
マイクロソフト株式会社 フォーラム オペレーター ○○○○
---------------------------
(公式ページ)
http://technet.microsoft.com/ja-jp/library/cc709647(WS.10).aspx
http://technet.microsoft.com/ja-jp/library/dd367850(WS.10).aspx
(参考資料)
http://www.atmarkit.co.jp/fwin2k/winsv2008r2/07gpr2/gpr2_02.html
http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2008ja/thread/48c68737-81bb-4b24-a2ac-6c263688c440
(関連投稿)
http://social.technet.microsoft.com/Forums/ja-JP/activedirectoryja/thread/a9d563e4-2348-455a-8b1a-e60d53cc767a
[0回]
MVP OM氏は丁寧に回答した。MVP CH氏は2行の回答で済ませた。
(質問)
外部サーバの名前解決が出来ない。
> 念のためDNSサーバーの設定で再帰が無効になっていないか確認してみていただけますか
再帰は有効になっていました。
> 再帰のテスト結果はどうでしょうか。
再帰クエリも単純クエリもテスト結果は「可」になりました。
> nslookup google.co.jp フォワーダに指定したIPアドレス
正常に名前解決が出来ました。
nslookupコマンドの実行結果は、以下のように表示されます。
(うちのドメインが「detarame.co.jp」今回作成したDNSが「dc01.detarame.co.jp」と仮定します。)
C:\>nslookup
Default Server: dc01.detarame.co.jp
Address: 192.168.64.10
> set debug
> microsoft.com
Server: dc01.detarame.co.jp
Address: 192.168.64.10
------------
Got answer:
HEADER:
opcode = QUERY, id = 2, rcode = NXDOMAIN
header flags: response, auth. answer, want recursion, recursion avail.
questions = 1, answers = 0, authority records = 1, additional = 0
QUESTIONS:
microsoft.com.detarame.co.jp, type = A, class = IN
AUTHORITY RECORDS:
-> nippon-rad.co.jp
ttl = 3600 (1 hour)
primary name server = dc01.detarame.co.jp
responsible mail addr = hostmaster
serial = 165883
refresh = 900 (15 mins)
retry = 600 (10 mins)
expire = 86400 (1 day)
default TTL = 900 (15 mins)
------------
------------
Got answer:
HEADER:
opcode = QUERY, id = 3, rcode = NXDOMAIN
header flags: response, auth. answer
questions = 1, answers = 0, authority records = 1, additional = 0
QUESTIONS:
microsoft.com.co.jp, type = A, class = IN
AUTHORITY RECORDS:
-> jp
ttl = 900 (15 mins)
primary name server = z.dns.jp
responsible mail addr = root.dns.jp
serial = 1281579301
refresh = 3600 (1 hour)
retry = 900 (15 mins)
expire = 604800 (7 days)
default TTL = 900 (15 mins)
------------
------------
Got answer:
HEADER:
opcode = QUERY, id = 4, rcode = NOERROR
header flags: response, auth. answer
questions = 1, answers = 2, authority records = 0, additional = 0
QUESTIONS:
microsoft.com, type = A, class = IN
ANSWERS:
-> microsoft.com
internet address = 207.46.197.32
ttl = 3600 (1 hour)
-> microsoft.com
internet address = 207.46.232.182
ttl = 3600 (1 hour)
------------
Name: microsoft.com
Addresses: 207.46.197.32, 207.46.232.182
どうやら普通は
> QUESTIONS:
> microsoft.com.detarame.co.jp, type = A, class = IN
ここの部分はこんな妙な表示にはならないらしいのですが、
実際他の会社でチェックしたわけじゃないので本当はどうなるか分かりません。
(自宅でやってみたら、microsoft.com, type = A, class = INとなりました)
いったいどこの設定が間違っているんでしょう。。。
フォワーダがちゃんと使われていないということなのでしょうか?
--------------------------
(MVP OM氏回答)
現状でフォワーダを指定して名前解決ができているのであれば、ちゃんとフォワードが機能しているのではないでしょうか。
ためしにフォワーダに指定するDNSサーバーをデタラメなIPアドレスにしで、DNSを再起動した場合にはどうなんでしょうか。
nslookup -debug で表示された結果を要約すると、3回名前解決を行っているようですが、これはDNSサフィックス機能で自動的にドメイン名の補完が行われるためだと思います。
[参考] http://www.atmarkit.co.jp/fwin2k/win2ktips/398dnssuffix/dnssuffix.html
QUESTIONS:
microsoft.com.detarame.co.jp, type = A, class = IN ・・・[detarame.co.jpを補完]
QUESTIONS:
microsoft.com.co.jp, type = A, class = IN ・・・[co.jpを補完]
QUESTIONS:
microsoft.com, type = A, class = IN
試しに、nslookup -debug microsoft.com. のように最後にピリオドをつければ補完が行われないため、1回しか名前解決は行われないと思います(「プライマリDNSサフィックスの親サフィックスを追加する」をオフにして問い合わせ回数を減らすことも可能)。
こちらで確認すると、ドメイン名補完が1回多く4回名前解決を行っていました。
QUESTIONS:
microsoft.com.ad.hogehoge.co.jp, type = A, class = IN ・・・[ad.hogehoge.co.jpを補完]
QUESTIONS:
microsoft.com.hogehoge.co.jp, type = A, class = IN ・・・[hogehoge.co.jpを補完]
QUESTIONS:
microsoft.com.co.jp, type = A, class = IN ・・・[co.jpを補完]
QUESTIONS:
microsoft.com, type = A, class = IN
mslookup -debug microsoft.com. と最後にピリオドをつければ1回しか行いませんでした。
QUESTIONS:
microsoft.com, type = A, class = IN
----------------------------
(MVP CH氏回答)
○○○○です。
デフォルトでは、フォワーダに失敗した場合再帰(ルートヒントを見にいく)からでしょう。
この動作は[フォワーダ]画面から変えることができます。
フォワーダが利用不能な場合にルートヒントを使用する
したの個人の方のブログに解説がある。
[0回]
(質問)
Windows Server 2003 の DHCPサーバの配布IPアドレスについて
Windows Server 2003 の DHCPサーバにおいて、192.168.0.0/22のネットワークをプールしている場合に、「192.168.0.255」や「192.168.1.0」が配布されるのは正しい動作でしょうか?
----------------------------
(回答)
××です
192.168.0.0/22のアドレス範囲は
192.168.0.1~192.168.3.254
192.168.4.1~192.168.7.254
というようになりますよね。
ここで192.168.0.1~192.168.3.254に着目すると
ネットワークアドレスは192.168.0.0/22
ブロードキャストアドレスは192.168.3.255
になります
ですので、「192.168.0.255」や「192.168.1.0」は通常のIPアドレスとして使用できるので正しい動作になります。
----------------------------
これはしたのように論理演算をすれば分かると思う。
たとえば
IPアドレス [192.168.0. 1] 11000000. 10101000. 00000000. 00000001
ネットマスク[255.255.252.0] 11111111. 11111111. 11111100. 00000000
理論積をとると 11000000. 10101000. 00000000. 00000000
ネットワークアドレス[192.168.0.0/22]に属している
IPアドレス [192.168.1. 1] 11000000. 10101000. 00000001. 00000001
ネットマスク[255.255.252.0] 11111111. 11111111. 11111100. 00000000
理論積をとると 11000000. 10101000. 00000000. 00000000
ネットワークアドレス[192.168.0.0/22]に属している
IPアドレス [192.168.2. 1] 11000000. 10101000. 00000010. 00000001
ネットマスク[255.255.252.0] 11111111. 11111111. 11111100. 00000000
理論積をとると 11000000. 10101000. 00000000. 00000000
ネットワークアドレス[192.168.0.0/22]に属している
IPアドレス [192.168.3. 1] 11000000. 10101000. 00000011. 00000001
ネットマスク[255.255.252.0] 11111111. 11111111. 11111100. 00000000
理論積をとると 11000000. 10101000. 00000000. 00000000
ネットワークアドレス[192.168.0.0/22]に属している
したがってIPアドレス [192.168.0.X/22]、[192.168.1.X/22]、[192.168.2.X/22]、[192.168.3.X/22]はネットワークアドレス[192.168.0.0/22]の同一のネットワークに属している。
(ネットワークアドレス[192.168.0.0]、ブロードキャストアドレス[192.168.3.255]の2つはIPアドレスとして割り当てできない。)
同様にIPアドレス [192.168.4.X/22]、[192.168.5.X/22]、[192.168.6.X/22]、[192.168.7.X/22]はネットワークアドレス[192.168.4.0/22]の同一のネットワークに属している。
ネットワーク部は上位22ビット、ホスト部は下位10ビットであるため、同一ネットワークには、2の10乗-2=1022台のホスト数が可能。(ネットワークアドレスとブロードキャストアドレスの2つを除く)
http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2003ja/thread/e4ef845f-3e33-4be4-b370-688078a3f1a7
なお、したのページより自動計算できます。
http://www.cityjp.com/javascript/network/network.html
http://note.cman.jp/network/subnetmask.cgi
[0回]
わざわざ難解なコマンドを使って、回答に困る質問をする。
(質問)
ドメインユーザのアカウント有効期限について
ドメインユーザのアカウントの有効期限でご教示いただきたく、宜しくお願いします。
あるアカウントを作成し、有効期限を設定しました。設定にては、dsmodコマンドにて期限を設定ました。ユーユーザを作成して、net userコマンドで確認したところ、2010/04/30 22:00になっています。
ところが、ユーザマネージャのGUI画面で確認すると、2010/04/29になっています。
4/30にはログインできない状態となってしまいましたが、これはOSの仕様(?)なのでしょうか?
netuserコマンドとユーザマネージャの画面とでは何故1日ずれが生じる?
そのあたり、詳細をご存知の方がいらしゃいましたらご教示のほど、宜しくお願いします。
----------------------------
(回答)
こんにちは。
GUI画面の表示(2010/04/29)も、net userコマンドも、どちらも正しい結果です。GUIは日付単位で、net userコマンドは秒単位まで表示するという違いがあります。
有効期限が"2010/04/30 22:00"の場合、日付単位でいうと2010/04/29は終日有効ですが、2010/04/30は終日有効ではありませんので、2010/04/29まで有効と表示されます。
秒単位まで数えた場合は、2010/04/30 22:00まで有効と表示する事ができます。
いずれも、accountExpiresの値を元に表示されています。
http://msdn.microsoft.com/en-us/library/cc221084(PROT.13).aspx
どうしてもGUI画面から秒単位で確認したい場合はADSI EditでaccountExpiresの値を確認してみてください。
参考になるページ
(dsmodコマンド)
http://www.netmanage.jp/mcp/MCP290_012.shtml
http://blog.livedoor.jp/komanosuke/archives/12544334.html
http://journal.mycom.co.jp/series/AD/040/index.html
(net userコマンド)
http://www.atmarkit.co.jp/fwin2k/win2ktips/786netuser/netuser.html
[0回]
Windows 7 OS自体の不具合なのか、OEM版PC製造メーカーのセキュリティ強化のための創意によるものなのか?
(質問)
WindowsServer2008(32bit)のドメイン参加でお尋ねです。(クライアントは7です)
素人質問になり申し訳ありませんがお世話になります。
今回クライアントのOSがPro系に統一されることになり、
ドメイン参加にてユーザ管理などを行いたいと考えました。
過去にWindows2000Serverでドメイン構成をした経験がありますが、
この頃のクライアントは9Xでしたので、難なくドメインへの参加ができました。
今回、Windows7Professionalにてドメインへの参加を試みたところ、参加はできる物の、
ソフトのインストールやアップデート、設定変更などに権限がないと言われできません。
ドメイン参加する際のユーザーをAD上でadministratorsグループに参加させてみたり、
ローカルログオンで参加ユーザーを管理者にしたり、
ドメインへadministratorでログオンしてみたりしましたが状況は変わらずでした。
おそらくサーバ上のセキュリティポリシーの設定によるのだと思われますが、
その理解であっていますでしょうか?
ポリシーの問題だとすると、administratorでログオンしているのに
インストールや設定変更ができないのが分からず、悩んでいます。
アドバイスなどよろしくお願い申し上げます。
なお、ローカルでログオンし、ソフトインストールやアップデートを行えば
ドメイン参加状態でも反映されます。
――――――――――――――――――――――――――――――――――――――
(高度な回答)
ドメインのAdministratorsではなくDomain Adminsにユーザーを追加すれば、自動的にクライアントの管理者権限を持つことはできるはずですが、一般的にはすべてのドメインユーザーをDomain Adminsにはしませんので、以下の手順で特定のドメインユーザーをクライアントのAdministratorsグループにドメインユーザーを追加してみるとどうでしょうか
[手順]
クライアントに管理者権限のあるローカルユーザーでログオンし、[コンピューターの管理][ローカルユーザーとグループ][グループ]でAdministratorsに、ドメイン名\ユーザー名を追加すれば、ドメインユーザーにローカル管理者権限が与えられます(推奨はしませんが全ドメインユーザーに対して行う場合には、ドメイン名\Domain Usersを追加します)。
ただ、ローカルログオンで参加ユーザーを管理者にしても、ドメインへAdministratorでログオンしてもだめだったのであれば別の原因がありそうな感じですが・・・。
上記設定がうまくいく環境であれば、グループポリシーで自動的に行うこともできるはずです。
クライアントのコンピュータアカウントを集めたOUに対して、グループポリシーの[コンピュータの構成][Windows の設定][セキュリティの設定][制限されたグループ]で以下を設定します。
以下のように設定すると、ローカルのAdministratorsグループに、ドメイン\Domain Usersを追加できます。
・グループ名 :ドメイン\Domain Users
・所属するグループ :Administrators
以下のように設定すると、ローカルのAdministratorsグループには、Administratorとドメイン\Domain Usersしか存在しなくなります(それ以外のAdministratorsグループのメンバはグループから削除されますので注意してください)。
・グループ名 :Administrators
・このグループのメンバ:ドメイン\Domain Users
――――――――――――――――――――――――――――――――――――――
(結論)
こんばんは。答えてねっと時代から、お世話になりありがとうございます。
今回ご呈示頂いた設定をすべて試してみましたが、
状況は変わらずです。
今日触っていて新たに分かったことの付け加えです。
・別用途の別機種(OSは7Enterprise)ではドメイン参加すら拒否される。
・Adobe Reader起動時に、ローカル(そのコンピュータに)ログオンでは、
新規作成したユーザ名(ドメイン登録してある物と同じ)では
アップデートの有無をチェックの項目が出るのに、
ドメインへログオンすると項目が表示されない。
などです。
2000Serverでドメイン運用の頃はセキュリティも今よりもあまり重要視されていなかったこと、
その後使っていた2003ではドメイン運用してなかったこと。
(XP HOMEのOSが混在していたためできなかった)
などから、2008ではかなりデフォルトでセキュリティ対策が強くかけてあるのかと思いましたが、
GOP上での設定を見た限りadministratorであればデフォルト状態でも
PCの設定変更が可能のようですね・・・。
もしかしたら、今回の7PCのデフォルト設定で、特別な事がしてあるのかも知れません。
(今回業者から直の納品ではなく、本社を通じての納品なので)
一度、メーカと本社に詳細を確認してみたいと思います。
見直すポイントが分かりましたので感謝いたします。
ありがとうございました。
http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2008ja/thread/41cca264-1d51-4c7e-8ee4-1ae1423f5d88
[0回]
実機を操作し、検証してみないと回答できない意外と難しい質問
(質問)
フォルダの削除を禁止するアクセス権について
NTFSアクセス制御について教えてください
NTFSアクセス制御で以下の要件を満たすにはどう設定すればよいのでしょうか?
<管理者>(administrators)
AフォルダおよびAフォルダ以下のフルコントロール
<一般ユーザ>(users)
Aフォルダ自身の削除は行えない
Aフォルダの下はフルコントロール
フォルダ構造は以下の通りです
C:.
├─A
│ └─A1
Aフォルダのアクセス許可エントリの詳細設定で、Usersのアクセス許可を開き
"適用先"を「このフォルダーのみ」で、削除を拒否(それ以外許可)したのですが
user1でAフォルダが削除できてしまいます
[0回]
Winsows Server 2008 ADのDNSは不可解である。インターネット接続、コンピュータ検索・ファィル検索、ディレクトリ検索等すべて問題ないのに・・・
(質問)
Windows 2008のDNSについて
Windows2008 SP2で2台のドメインコントローラを構築しています。
2台ともにDNSをインストールし、ActiveDirectory統合で構築しました。
2台のドメインコントローラのコンピュータ名を下記とします。
test1.test2010.test.co.jp
test2.test2010.test.co.jp
nslookupでホスト名を検索すると正常に検索されます。
nslookup test1
サーバー: localhost
Address: 127.0.0.1
名前: test1.test2010.test.co.jp
Address: 10.1.70.1
nslookupでFQDNで検索するとtime outになりますが、検索されます。
nslookup test1.test2010.test.co.jp
サーバー: localhost
Address: 127.0.0.1
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
名前: test1.test2010.test.co.jp
Address: 10.1.70.1
time outになるのが正常なのでしょうか、それとも設定に誤りがあるのでしょうか?
ご教授お願いします。
他にしたにも似たような投稿もありました。
http://oshiete1.goo.ne.jp/qa1538955.html
http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=17203&forum=6&start=8
http://fedorasrv.com/bbshtml/webforum/B0000380.shtml
http://kajuhome.com/cgi-bin/patio/patio.cgi?mode=view&no=1241&p=4
[0回]
プロフィール
カレンダー
カウンター
リンク
最新記事
最新コメント
最新トラックバック
カテゴリー
アーカイブ
ブログ内検索
リンク
忍者画像RSS
忍者AdMax
フリーエリア