新 小さなLAN windowsserever2016載せ替え GPO その2(会社で入っていたものを見てみる)

Windowsサーバー

こちらは素人です。余ったwindowsserver2016と再インストールしたwindows10のPCで
ネットワークを試しに作ってみようと考えています。
余ったサーバーとPCなので、いろんな設定が残っていて、通常の挙動と違うかも。
使ったハード(サーバー):I-Oデータ HDL-ZWSCRシリーズ LAN DISK(ブレードサーバー

 

************************************前回まで
GPOの設定」その1(試し)
GPOで、ログオン時に「対話型ログオン」でサインイン時に、メッセージを送信・表示する。

<分かったこと>
GPOのリンク先は、適したところにする。
(適用には時間がかかる)

*********************************

今回:
今回・・・だが、困った。
会社のGPOを参考に試してみようと思ったが、内容が分からない。
後述するが、今回試そうと思ったGPOは、業者さんに聞いても、当時当該サーバーに設定したGPOではないらしい。
その先代で設定したGPOかもしれない。

 

//////////////////////////////////////////////////////////////

質問1:
GPOでのwindows ファイアウォールの制御】

************************************************
GPOの設定で、「hoge」(仮名)というのがありました。

中味は、「コンピュータの構成」「ポリシー」「windowsの設定」「セキュリティの設定」「セキュリティが強化されたwindowsファイアウォール」の
ドメインプロファイルの設定」(ドメインネットワークのプロファイル)にのみ以下の設定がありました。

<ポリシーで設定されていたもの>
ファイアウォール・・・無効
通知を表示する・・・はい
ユニキャスト応答を許可する・・・はい
ドロップされたパケットログをとる・・・いいえ
成功した接続のログをとる・・・いいえ

*************************************************

おそらく、Windowsファイアウォールなどセキュリティに関するポリシーだと思いますが、その認識でよいでしょうか?

質問2:
似たようなソフトで「Windows Defenderファイアウォール」については、
「Endpoint Protection」という名称で操作可能と思ってよいでしょうか?)


回答1:(知り合い1)
ファイアウォールポリシーだが、
こちらで設定したものではない。
以前から
使用されているポリシーを引き継いでいるのかも。
内容から、プリンターの共有等に使っていたのかと。

>おそらく、Windowsファイアウォールなどセキュリティに関するポリシーだと思いますが、その認識でよいでしょうか?
セキュリティという認識はあっていると思いますが、ポートの遮断系かと。

回答2:(知り合い1)
>似たようなソフトで「Windows Defenderファイアウォール」については、
>「Endpoint Protection」という名称で操作可能と思ってよいでしょうか?)
WindowsDefenderファイアウォールはコンピュータ単体のファイアウォール機能。
Endpoint Protectionはその中でもウイルスやマルウェア対策の機能です。
この部分のみ、この会社の場合はTrend Micro ウイルスバスターに替えています。

とのこと。いつもながら感謝。

/////////////////////////////////////////////////////////
他の業者さんにも質問3
もしかしたら、知っていたら教えて下さい。
会社のサーバーの設定で教えて下さい。


GPOの設定で、「hoge」というのがありました。

(中略)

もしもご存じでしたら、このGPO、何のために設定してあるのかご教示下さると幸いです。

 

回答3
(前略)
GPOについては弊社にてご提供できる情報を持ち合わせていない。
設定内容としてはファイアウォールを無効化した上で通知表示とユニキャストの許可をしているようですが、
一般的にはアプリケーション等の要件かと。
いずれにしてもドメイン導入時に遡らなければ詳細を推し量ることは困難。
現在の環境で当該設定が必要か否か、
セキュリティ上問題ないか(クライアントPCのファイアウォールが無効化されているのであれば)を
考慮し設定するのがいい。

/////////////////////////////////////////////////////////

 

 


推測
質問1と質問3だが、
「セキュリティに関するポリシー」というのは、例えば、アプリケーションで、動かない場合、そのアプリのためにセキュリティの設定を変えているということもありうる。


何にしろ、同じGPOを作成して、リンクさせてみればいいのかもしれない。

・・・とここまで、来てふと、前回のことを思い出す。

*********************
<分かったこと>
GPOのリンク先は、適したところにする。
*********************

このhogeは「コンピュータの構成」なのに、リンク先は、ユーザーアカウントのOUになっている。
→つまり、「適したところにリンクしていないので、このポリシーは、動いていないのでは?」と推測


一応、練習のため、同じようにポリシーの作成を構成して、リンクさせてみる(わざとユーザーアカウントの入ったOU「seito」にリンク)。

一応、体裁はできた。子機もつないでいないので、早々にリンクを削除して、なかったことに。(笑)(汗)

 


で、このGPOには、もう少し続きがある。その3で。
次回:再度の質問とその他不要そうなGPO(のつもり)