ActiveDirectory。ログオンのタイミングでグループポリシーって適用されてんじゃないのー？
沙耶です。こんにちは。

ADユーザーの一人が、っていうか俺のアカウントがなぜか移動プロファイル時にエラーを出してuser/tempの一時プロファイル使用に落ちてしまう。

他のアカウントでは発生しないので、どーもADのユーザーやフォルダリダイレクトの作り自体に問題があるわけじゃないようなのだが…。


んで調べていく。

プロファイル破損、とかも調べたが、とくにProfilelistに.bakなレジストリキーはできてない。

さらに追っかける。
UACの一環でSPいくつだったか忘れたが、2003Server側のプロファイルディレクトリの所有権監査をしてるとのこと。

所有権を適切に書きなおしてサブフォルダ以下全部に強制適用してみる。

ログオフ->ログオン。

結果かわってNEEEEEEEEEEEEEEEEEEEEEEEEEEEEEE。


仕方がないのでポリシーオブジェクトで監査項目を無効化してみる。

ログオン->ログオフ。

結果かわってNEEEEEEEEEEEEEEEEEEEEEEEEEEEEEE。


いやいやいやいや。おかしいだろ。ほかにKnowledgeBaseに情報もないし。ていうかそれが原因ってイベントログで言ってるんだし。
仕方ないのでサブの方で電源offからやってみる。
…通過したよくそったれ。いったいどのタイミングでグループポリシーオブジェクト読んでるんだ？
コンピュータのオブジェクトは起動時だけ、ユーザーオブジェクトだけログイン時、みたいに分かれてるのか？　任意適用の方法ってなんかないのかな。gpedit.mscのオプションかなんかになんかあったような気もするが忘れた。


ま、いいや、とりあえず直ったしー。

さて、そんなわけで唐突に始まるアクティブディレクトリのお話。制御の基本としては、アカウントを一括管理する、というのが目的としては大きいですね。
ActiveDirectoryサーバってのは従来でいうところのNTドメインではありますが。もうちと複雑にはなってますね。

さて。ADではおなじみになるのがグループポリシーオブジェクト、という代物。これは、あるグループにおいて割り当てられたアカウントの権限コントロール。


ご家庭で一台のPCを家族何人かで使ってる方、いませんか？
結構いるかと思います。

全員が全員Administratorsグループに所属してたりしませんか？
貴方の秘蔵のエロ画像、家族にﾊﾞﾚﾊﾞﾚですね！！！ｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ


「ちょっと待ってくれよマイク。それじゃ俺のあのスカトロ動画とかもか！」
「そうさジョン。お前の娘はお前の特殊性癖のせいで絶縁状を書いたってのは秘密にしてくれって言われてたんだがバレちまったな！」

そんなやり取りで家庭崩壊が起きるのも時間の問題ですこれは困った。

まあ別にAdministratorsのアクセス権限解除すりゃいいだけですけど、相手もAdministrator権限を持っていたら取得し直せますからねぇｗｗｗｗｗｗ
※そこまでしつこくやる時点ですでに一般家庭ではない気がしますが気にしません。


じゃあ会社のシステムとかどうやってるんでしょうね。小さい会社なら個々のPCのAdministrator権限を持たせていますが、んじゃあれです、内部統制だのなんだのでUSBの使用禁止を適用したい。CD-Rへの書き込みソフトウェアやデバイスの挙動を制御したい場合。
上記のように、Administrator権限で何らかの制御を加えていても、使う側もAdministrator権限を持ってたら元の黙阿弥ですしね。ま、そのためにPowerUsersやUsers権限がビルトインとして在るわけです。
しかし、PowerUsersクラスだと結構自由にいろいろできます。Usersでも結構いろいろできますが。

グループポリシーは、さらにこれを一歩進めた非常に強力かつ柔軟なシステムです。
管理者にとって、都合のいいとこだけを強制的にユーザーに適用し、ユーザー側がそれを変更できないように押し付ける、Windows系における最終的な兵器です。その分間違って適用すると誰も使えないとか平気で発生しますが。

いったい、どんなことができるのか、を見ることはあなたでもできます。まあ眺めてると頭痛くなること請け合いですが。

コマンドプロンプトやファイル名を指定して実行、からgpedit.mscを実行してみましょう。沙耶は2003Serverでやることが多いのでmmcのスナップインで呼び出しますが…。

+を叩くとその下の項目が次々と出てきますから、ぜひ眺めてみてください。あなたの会社のシステムの人は、これだけの項目をいじってる（人がいることもたまにはあるかも知れない）わけです。
これはあくまでローカルのコンピューターに適用する項目です。
まじめに見てると頭痛くなりますが、軽く1000以上あります。

ドメイン環境では、ある一定の条件におけるPCには均等に同一のこのポリシーを適用したりするわけです。要は一台一台設定するのがめんどくさいし流動性がないからシステマチックにしてるだけですが。

たとえば、コンピューターの電源が入ったとき、そして電源が切られるときに自動的に何かの作業をやらせたい、というときはコンピューターの構成のスクリプト、スタートアップ/シャットダウンへバッチファイルなりの実行ファイルを登録しておきます。
こうすると、PC起動時に自動的にそのファイルが実行されます。

ちなみにシャットダウンするバッチファイルをスタートアップに登録してはいけませんｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ
大変面白いことにはなりますが。

同様にユーザーのログオン、ログオフ時に何かを動かす場合はユーザーの構成で設定することになります。
同様にシャットダウンバッチを以下略するとそのアカウントでのログイン時にいきなり電源が落ちるといういたずらを以下略。

単にアカウントを使わせたくないだけならロックアウトすればいいわけですしねｗ

アカウントポリシーではアカウントに使われるパスワードの有効期限を決めたり。
半年に一回は最低でも変えろ、とか言われた場合ここを180日にしておけばあとはもうシステム任せでいいわけです。また、パスワードの複雑性の監査や、同一パスワードの連続使用の禁止、また、何回ログインに失敗したらそいつのアカウントを何分ロックアウトするか、といったところもセットできます。

ドメインにしたときにまず配りたくなるのがここだったりします。
定期的にパス変えてね、なんて言ったって誰も守らないもんね。だったら強制しちまえばいい（鬼。

ローカルポリシーは監査ポリシー以外はいじらないことを勧めます。監査ポリシーはいじってもOK。
イベントログにどんなイベントを記録するか、ってのがここの中身です。
デフォルトではログインの試行すら監査しませんが、こいつの成否を記録しておくと、ソーシャルハッキングの追跡ができることがあります。
ユーザー権利の割り当ては下手にいじるといろいろ障害になりますから、わかっている人以外は接触禁止です。レジストリぶっ壊されるよりタチが悪いかも知れません。
セキュリティオプションは権利の割り当てほどタチは悪くありません。デバイスの利用制限をかけたりできますが、ここもよく分かってないと危ないと言えば危ない。

さて、その下に管理用テンプレートってのがあります。

こっちはさらによりWindows利用形態そのものに踏み込んでいく管理テンプレートです。

特にIE制御がものすごいことになります。ほぼ決め打ち状態の設定のIEを押しつけることができるとともに、Users権限に絞るとFirefoxのインスコとかできませんしね。まあzip展開するだけのソフトは使えますが。

ま、こんな感じでかなりの項目を実は管理者サイドってのは握ってるんですよって話です。
導入までがクソめんどくさいんですけどね…ADは…。

ネットワークインストールとか使うといろいろ面白かったりするのですが、msiでインストーラー作ってくれてるソフトって少ないんだよねぇ。zapファイルだとユーザー権限になってしまうし。
スタートアップで導入チェックをしてzap呼びだすって手は使えそうな気はするけど。
※スタートアップ/シャットダウンスクリプトはadministrator権限で動く。

触ってみると結構いろいろできるのだけど、まあ性質的にあんま誰かれ構わず触ってみましょうって類のものではないことは確かです。
是非自分のマシンのadministrator権限を持っていたら、スタートアップにshutdown.batを押しつけて、管理者を呼んで解決できるかとか遊んではいけません。

普通にフチ切れられるかリカバリディスクおいて帰るかのどっちかですねｗｗｗｗｗｗ
ドメインログオンのとこではできないいたずらですが。やっちゃだめよ、ほんとｗ