ドメイン全体にグループポリシーを適用する必要があるが、特定のグループやユーザーにはグループポリシーを適用したくない場合があります。この記事では、ドメイン全体にコントロールパネルへのアクセスを制御し、特定のグループやユーザーからグループポリシーの適用を除外する手順を確認します。
グループポリシーの概要については、下記の記事を参考にしてください。
【Active Directory】グループポリシーの構成・適用・更新
ローカルグループポリシーは、個々のコンピュータ(OS)に対して、コンピューターやユーザの構成のポリシーを適用する設定でした。 ただし、管理者による集中管理ができず、個々のコンピューターで個別に設定を適用する必要がありました。 ローカルグルー...
hirotanoblog.com
2022.09.19
ドメイン全体でコントロールパネルへのアクセス禁止
グループポリシーを用いて、全ドメインユーザーに対して、コントロールパネルへのアクセスを禁止します。この場合、コントロールパネルを無効化するGPOをドメインにリンクします。
ドメインコントローラのメニューにて、Windows管理ツールから、「グループポリシー管理」コンソールを開きます。
ドメイン(hirotanoblog.local)に新しいグループポリシーオブジェクト(GPO)を作成します。
ドメイン(hirotanoblog.local)を、右クリックし、「このドメインにGPOを作成し、このコンテナーにリンクする」をクリックします。
GPOの名前を「コントロールパネルへのアクセス禁止」とし、「OK」をクリックします。作成したGPOがドメインにリンクされます。
作成したGPOを右クリックし、「編集」をクリックします。
「ユーザーの構成」→「ポリシー」→「管理用テンプレート」→「コントロールパネル」に移動し、「コントロールパネルとPC設定へのアクセスの禁止する」ポリシーをダブルクリックします。
「有効」を選択し、「適用」→「OK」をクリックします。
下記のとおり、状態が有効であることを確認します。
自動更新を待たずに、GPOを適用させます。コンピューターにドメインユーザーでログインして、「gpupdate /force」コマンドを使用してグループポリシーを更新します。
「Windowsシステムツール」から「コントロールパネル」を起動します。
「コントロールパネル」へのアクセスが拒否されることが確認できます。
管理者のみコントロールパネルへのアクセス許可
上記では、ドメイン全体にコントロールパネルを禁止したため、ドメイン管理者でも、コントロールパネルへのアクセスが禁止されています。
ドメイン管理者(Domain Admins)に対しては、例外としてコントロールパネルへのアクセスを許可したいと思います。
以下の手順で、「コントロールパネルへのアクセス禁止」のGPOで、特定のグループやユーザーへの適用を除外することができます。
「コントロールパネルへのアクセス禁止」のGPOを選択し、右ペインの「委任」タブから「詳細設定」をクリックします。
ドメイン管理者である「Domain Admins」を選択し、「グループポリシーの適用」の「拒否」にチェックを入れ、「適用」をクリックします。
「はい」をクリックします。
「OK」をクリックします。
administrator でログインしたコンピューターで、「gpupdate /force」コマンドを実行後、コントロールパネルへのアクセスができることが確認できます。
コメント