3.5.1 グループポリシーオブジェクトに対する読み取りアクセス許可と書き込みアクセス許可の設定
作成されたグループポリシーオブジェクトには,デフォルトで次のようなアクセス権限が設定される。
- Authenticated Usersグループ
- 読み取り,グループポリシーオブジェクトの適用
- SYSTEM,
Domain Adminsグループ,
Enterprise Adminsグループ - 読み取り,書き込み,子オブジェクトの作成,子オブジェクトの削除
グループポリシーオブジェクトの読み取りと書き込みを許可するには,[オブジェクト制御の委任ウィザード]を使用し,(1) 制御を委任するユーザーやグループ,(2) 対象となる組織単位やオブジェクト,(3) オブジェクトにアクセスして設定を変更するためのアクセス許可,を指定する。グループポリシーオブジェクトに対して書き込みアクセス許可を持たないユーザーまたは管理者は,グループポリシーオブジェクトに設定された設定値を表示する[グループポリシー]管理ツールを使用できない。グループポリシーを拡張設定するユーザーやグループは,グループポリシーオブジェクトの格納場所であるActive Directoryや.admファイル,レジストリなどに対して書き込みアクセス許可を備えていなければならない。
グループポリシーの拡張設定とは,(1) ソフトウェア開発者がグループポリシーを設定する固有のユーザーインタフェースを開発するためにスナップインを拡張すること,(2) グループポリシーテンプレートに含まれている以外のレジストリ値を設定すること,(3) .admファイルを作成すること,などを指す。
- [スタート]メニューから[プログラム]−[管理ツール]−[管理を委任するグループポリシー]を選択する。グループポリシーのルートノードを右クリックし,[プロパティ]を選択する。あるいは,[Active Directoryユーザーとコンピュータ]管理ツールを開き,管理する組織単位を右クリックして[プロパティ]を選択し,[グループポリシー]パネルを開いて[プロパティ]ボタンを押してもかまわない。
- グループポリシーのプロパティダイアログボックスが表示されたら,[セキュリティ]パネルを開き,選択したグループポリシーオブジェクトにアクセス許可を設定する。このとき,ドメイン全体に対する管理者(Domain Adminsグループのメンバ)であれば,グループポリシーオブジェクトのポリシーを変更可能な管理者グループを[セキュリティ]パネルで特定することもできる。もしグループポリシーオブジェクトのポリシーを変更できる管理者グループを設定したければ,ネットワーク管理者はあらかじめ適当な管理者グループ(たとえば,Database Adminsグループなど)を定義しておき,選択したグループポリシーオブジェクトに対する読み取りアクセス許可と書き込みアクセス許可をそのグループに設定する。もしグループポリシーオブジェクトに対するすべての権限を与えるのであれば,[フルコントロール]を設定すればよい。
Fig.3-26 グループポリシーに対するアクセス許可の設定
 |
Chapter 3(後編) 7/17 |  |
