グループポリシーを特定のユーザーアカウントのみに適用する際、セキュリティフィルターに任意のユーザーアカウントを追加することで特定ユーザーにのみポリシー適用することができた記憶があったのですが、実際にやってみるとうまく動作せず、、ということがあったので対処方法を残しておきたいと思います。
※本記事は、Windows Server 2016 で確認した内容になります。
セキュリティフィルターを設定するとグループポリシーが適用されない
Active Directory のグループポリシーにて、「ユーザーの構成」を定義したポリシーを特定のユーザーのみに適用させる場合は、以下の流れになるかと思います。
※グループポリシーオブジェクト自体は対象のユーザーアカウントを含む OU へリンクします。
- グループポリシーオブジェクトを作成
- ユーザーの構成の定義
- 「スコープ」の「セキュリティ フィルター処理」から “Authenticated Users” を削除
- 「スコープ」の「セキュリティ フィルター処理」へ特定のユーザーアカウントを追加
これで特定のユーザーアカウントを対象としてポリシーを適用することができたと思っていたのですが、実際に適用してみると「適用されたグループポリシーオブジェクト」へ「N/A」が表示されていてどうやら適用されていない模様。
以下は gpresult /z を実行した際の出力結果の一部になります。
適用されたグループ ポリシー オブジェクト ----------------------------------------- N/A
いろいろ調べてみたところ、対象となるグループポリシーオブジェクトの委任の設定へ「Domain Computers」のアクセス権を追加して「読み取り」の許可設定が必要なようです。
特定のユーザーのみにポリシーを適用させる
特定のユーザーアカウントのみにポリシーを適用させる場合は、以下の操作が必要となります。
- Authenticated Users の削除(セキュリティフィルター)
- ユーザーオブジェクト or セキュリティグループの追加(セキュリティフィルター)
- Domain Computers の読み取りアクセス許可を追加(委任)
Domain Computers とは、ドメインに属しているすべてのコンピューターオブジェクトを含むセキュリティグループを指しています。
簡単に流れを説明していきます。
1.グループポリシーオブジェクトのセキュリティフィルター処理から「Authenticated Users」を削除します。
2.セキュリティフィルター処理へセキュリティグループを追加(ポリシーの適用対象となるユーザーアカウントを含んだグループ)します。
3.グループポリシーオブジェクトの委任のタブを表示します。
4.委任の設定へ「Domain Computers」を追加します。
5.追加したグループへ「読み取り」のアクセス許可を指定します。
6.委任の設定へ「Domain Computers:読み取り」のアクセス権が追加がされます。
以上が特定のユーザーアカウントのみにポリシーを適用するために行った設定となります。
まとめ
グループポリシーオブジェクトの Authenticated Users を削除したことで、読み取りアクセス許可がないコンピューターではポリシーを読み取ることができなくなったのではないかと思われますが、実際の原因動作としてはよくわかっていません。そのため、Domain Computers を追加したことによる影響がでていないかは確認しておくのがよいでしょう。
また、Domain Computers ではなく、特定のコンピューターオブジェクトの読み取りアクセス許可を追加することで、特定のコンピューターにログインしている場合の特定のユーザーにのみポリシーを動作させるといったことも可能でした。