【AD GPO】特定のグループ・ユーザーをGPO適用から除外する

ドメイン全体にグループポリシーを適用する必要があるが、特定のグループやユーザーにはグループポリシーを適用したくない場合があります。この記事では、ドメイン全体にコントロールパネルへのアクセスを制御し、特定のグループやユーザーからグループポリシーの適用を除外する手順を確認します。
スポンサーリンク

ドメイン全体でコントロールパネルへのアクセス禁止

グループポリシーを用いて、全ドメインユーザーに対して、コントロールパネルへのアクセスを禁止します。この場合、コントロールパネルを無効化するGPOをドメインにリンクします。
ドメインコントローラのメニューにて、Windows管理ツールから、「グループポリシー管理」コンソールを開きます。

ドメイン(hirotanoblog.local)に新しいグループポリシーオブジェクト(GPO)を作成します。
ドメイン(hirotanoblog.local)を、右クリックし、「このドメインにGPOを作成し、このコンテナーにリンクする」をクリックします。

GPOの名前を「コントロールパネルへのアクセス禁止」とし、「OK」をクリックします。作成したGPOがドメインにリンクされます。

作成したGPOを右クリックし、「編集」をクリックします。

ユーザーの構成」→「ポリシー」→「管理用テンプレート」→「コントロールパネル」に移動し、「コントロールパネルとPC設定へのアクセスの禁止する」ポリシーをダブルクリックします。

有効」を選択し、「適用」→「OK」をクリックします。

下記のとおり、状態が有効であることを確認します。

自動更新を待たずに、GPOを適用させます。コンピューターにドメインユーザーでログインして、「gpupdate /force」コマンドを使用してグループポリシーを更新します。

「Windowsシステムツール」から「コントロールパネル」を起動します。

コントロールパネル」へのアクセスが拒否されることが確認できます。

スポンサーリンク

管理者のみコントロールパネルへのアクセス許可

上記では、ドメイン全体にコントロールパネルを禁止したため、ドメイン管理者でも、コントロールパネルへのアクセスが禁止されています

ドメイン管理者(Domain Admins)に対しては、例外としてコントロールパネルへのアクセスを許可したいと思います。
以下の手順で、「コントロールパネルへのアクセス禁止」のGPOで、特定のグループやユーザーへの適用を除外することができます。
コントロールパネルへのアクセス禁止」のGPOを選択し、右ペインの「委任」タブから「詳細設定」をクリックします。

ドメイン管理者である「Domain Admins」を選択し、「グループポリシーの適用」の「拒否」にチェックを入れ、「適用」をクリックします。

はい」をクリックします。

OK」をクリックします。

administrator でログインしたコンピューターで、「gpupdate /force」コマンドを実行後、コントロールパネルへのアクセスができることが確認できます。

コメント