こちらは素人です。余ったwindowsserver2016と再インストールしたwindows10のPCで
ネットワークを試しに作ってみようと考えています。
余ったサーバーとPCなので、いろんな設定が残っていて、通常の挙動と違うかも。
使ったハード(サーバー):I-Oデータ HDL-ZWSCRシリーズ LAN DISK(ブレードサーバー)
************************************前回まで
ライセンス認証など
(間に、「番外・応用 UPNサフィックスの追加」を挟む)
*********************************
今回することの前の準備:
「番外・応用 UPNサフィックスの追加」で、行った設定を外す。
AD ドメインと信頼関係 プロパティ 作成した(代替)UPN「gaibu.co.jp」を削除
AD ユーザーとコンピュータ で作成(登録)したユーザ 「外部先生」を「先生003」にして、他の先生同様の設定に変更しておく。
(注:先生というのは、組織の例(学校とか職場)としてなのであまり意味はありません。)
今回すること
「GPOの設定」その1(試し)
*********************
前置き(自分の事前知識)
GPO(グループポリシーオブジェクト)は、OU(組織単位)などに適用(リンク)して、子機などを制御するもの。
(グループポリシーと言いながらグループでなくOUにかけるんだな。)
(注:サイト、ドメイン、OUなどのコンテナーに割り当てるそうです。)
でも、ファイルのアクセス権の付与とどう違うんだろ・・・とかいう知識しかないです。
で、GPOについては、実際に稼働しているサーバーを覗いて、どんな設定をしているのか、「さらっと」スルーしようと思っていた。
が、やってみると、やはり「さらっと」はいかない。
(上記では、大事な考え方などが抜けている・・・。)
************************(備忘録なので、五月雨に記載メモしています)
実際に稼働しているサーバーの設定
「スターターGPO」はない。(GPOのひな型)
(関係ないが、サーバーマネージャーのツール コンピュータの管理には、あまり特徴的なものはない)
その他、実際に有効なGPOの分析については後日。
***********************
今回 やろうとすることの具体例(試し)
GPOで、ログオン時に「対話型ログオン」でサインイン時に、メッセージを送信・表示する。
サーバーマネージャー 「グループポリシーの管理」管理ツールを起動。
ウインドウ上は、最初、
フォレスト 「>soshiki.local」しかない。
「>」横マークの不等号があるので、これをクリック、表示していく。
「グループポリシーオブジェクト」で「新規」で、名称を作成(適当に「ログオン時メッセージ」とか)。
その内容を編集していく。
以下、参考にしたネットより:基礎から分かるグループポリシー再入門(5)
ログオン時にメッセージを表示させる設定
「コンピューターの構成」-「ポリシー」-「Windowsの設定」-「セキュリティの設定」-「ローカルポリシー」
-「セキュリティオプション」-「対話型ログオン:ログオン時のユーザーへのメッセージのタイトル」
(上記はタイトルで、内容は、「対話型ログオン:ログオン時のユーザーへのメッセージのテキスト」で設定)
とりあえずできた。
で、リンクさせることが分かっているので、OU「sensei」にリンクさせてみた。(で、はまった(複数))
再起動しても表示が出てこない。
そういえば、そもそも、子機には、「ctrl + ALT +Dell」が出ていない。
これについては、同じくGPOで、「コンピューターの構成」の中の「対話型ログオンを必要としない」
(「ctrl + ALT +Dell」)のポリシーの未定義を、
「無効」にすればいいということで、追加設定。
(念のため「最新の情報に更新もした)
それでも出ない。
(基本が分かっていないので。)
はまったこと:GPOのリンク先が違う!
一番大きな間違いは、リンク先をOU(sennsei)にしたこと。
標準テキスト Windows Server2012 R2 構築・運用・管理パーフェクトガイドの P253にも
重要!として記載してあるが、OUをユーザーアカウント用やコンピュータアカウント用など、
オブジェクトの種類ごとに作成している場合は、それらに適したGPOをリンクして下さい。
「コンピュータの構成」に関するポリシーが設定されたGPOを、ユーザーアカウント用のOUに
リンクしても意味がありません。
と書いてある。
「対話型ログオン:・・・」は「コンピュータの構成」にある。(ユーザーの構成の設定項目ではない。)
だから、OU(sensei)にリンクしても動かない。
一番簡単なのは、ドメインsoshiki.local(フォレスト)へのリンクだった。
この中には、domaincomputersかな?コンピュータのコンテナーもあるはず(←分かっていない。)
(途中で、子機だけのコンピュータのアカウントを作ったが、うまく行かなかった。)
はまったこと:GPOの適用後の反映について
どこかのネットに書いてあったが、
GPOを適用した後、10分または20分待つ必要があります。
コンピュータを再起動し、確認が必要とのこと。
やってみた。
時間を置き、サーバーと子機(ノートPC)を再起動したら、サーバーは、メッセージが出た。
(そもそも「ctrl + ALT +Dell」が要求されていたので、問題ない。)
子機を再起動すると、「ctrl + ALT +Dell」が要求された。
が、ここではまった。
キーボードから「ctrl + ALT +Dell」を入力しても、ログオンできない。
これは、キーボードの故障だった。USBで別のキーボードを差したら、
無事ログオンできて、メッセージも出た。
なお、GPOを強制適用は
gpupdate /force
だそうです。
(再起動したりしたので、うまく使えたのか分かりません。)
なお、子機のキーボード故障が発覚したので、「ctrl + ALT +Dell」は要求しないようにしました。
サーバーでGPOを未定義に戻す。
(リンクも解除)
子機は、一度「ctrl + ALT +Dell」の設定が入ると、「無効か有効か」どちらかになるようです。
一応、未定義に戻したいので、
子機で、
Windowsマーク+R
ファイル名を指定して実行
regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System
で、DisableCAD値を削除します。キーボードのDeleteキーを押します。
参考:BILLIONWALETT(Windowsサインイン/ログオン時のCtrl+Alt+Delを有効・無効にする - Windows 10 セキュリティポリシー(secpol.msc))
ポイントは、GPOには、「ユーザーの構成」「コンピュータの構成」があり、
適用(リンク)先は、それらに応じたコンテナーしか、稼働しないということ。(低レベル)
まあ、一緒くたに作ってリンクしても、稼働しないだけならいいが、ややこしくなるので、
きちんとした方がいいだろうね。