3.2.7 制限されたグループ
制限されたグループポリシーは,[Windowsの設定]−[セキュリティの設定]ノードのなかにある。ここで定義されたグループとメンバーシップで,あらかじめ定義された機能が割り当てられているビルトイングループ(Administrators,Power Users,Print Operators,Server Operators,Domain Adminsなど)を再検査する。「グループポリシーが適用されたとき,制限されたグループには登録されていないものの,ビルトイングループには登録されている」というユーザーやグループは,ビルトイングループから自動的に削除される。
制限されたグループを構成しておくと,意図しないユーザーやグループが高度な権限を有するグループメンバシップに登録されてしまうことを防ぐことができる。制限されたグループは,主にワークステーションまたはドメインのメンバサーバー上のローカルグループのメンバシップを構成する場合に使用される。
3.2.8 イベントログ
イベントログポリシーは,[Windowsの設定]−[セキュリティの設定]ノードのなかにある。アプリケーション,セキュリティ,システムという各イベントログの最大ログサイズ,各ログへのアクセス権限,ログの保存方法などを定義する。イベントログの設定は,グループポリシーを利用して,サイトやドメイン,組織単位を境界として適用することをお勧めしたい。
3.2.9 IPSecポリシー
IPSecポリシーは,[Windowsの設定]−[セキュリティの設定]ノードのなかにある。IPSecを用いると,TCP/IPの通信を暗号化することができるようになるので,内部のプライベートネットワークと外部のネットワーク(インターネットやエクストラネット)との通信で秘密性を高めることができる。IPSecを制御するには,[IPセキュリティウィザード]を使用し,認証方法や証明書などのポリシーを作成する。
3.2.10 リモートインストールサービス
リモートインストールサービスポリシーは,[ユーザーの構成]−[Windowsの設定]ノードのなかにあり,ユーザーに対してのみ適用される。[クライアントインストールウィザード]でユーザーが利用できるオプション(自動セットアップの許可または拒否,セットアップ再実行の許可または拒否,カスタムセットアップの許可または拒否,ツールの許可または拒否)を設定する。
3.2.11 ファイルリダイレクト
ファイルリダイレクトポリシーは,[ユーザーの構成]−[Windowsの設定]のなかにあり,ユーザーに対してのみ適用される。ファイルリダイレクトポリシーを適用すると,ユーザープロファイルフォルダのように通常はローカルコンピュータの特定フォルダを参照するようになっている特殊なフォルダを,ネットワーク上の共有フォルダやローカルコンピュータ上に存在する別のフォルダにリダイレクトさせることができるようになる。
フォルダリダイレクトポリシーの適用対象となるフォルダには,[Application Data],[ディスクトップ],[マイドキュメント],[スタート]メニューがある。一般的に,これらのフォルダは,多くのアプリケーションでデフォルトのファイルの保存場所などとして利用される。そのため,フォルダの容量が大きくなりがちである。また,さまざまなアプリケーションにかかわるファイルが格納されるために,利用しているうちにどのファイルがどのアプリケーションで利用されるのかわからなくなったり,どのファイルが不要なのかわからなくなったりすることもある。また,ほかのコンピュータからアクセスするときに面倒になることもあるだろう。ファイルリダイレクトポリシーを利用することで,任意の場所に特殊なファイルの格納場所を変更できるようになる。
あらゆるアプリケーションが同じフォルダにデータを格納し,データファイルの数が多くなるのに従って,どのファイルがどのアプリケーションに対応しているのかわからなくなってしまうこともある。しかし,アプリケーションごとに特定のフォルダにリダイレクトさせれば,少なくともファイルに対応しているアプリケーションはわかるので,管理しやすい。また,一般的にサーバーは定期的にバックアップされることが多いので,サーバー上にリダイレクトさせることで,定期的にユーザーの特定データをバックアップできるようになり,フォルトトレラントが向上する。
 |
Chapter 3(前編) 13/22 |  |
