ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

セキュリティフィルター処理からAuthenticated Usersを削除するとGPOが適用されない

セキュリティフィルター処理からAuthenticated Usersを削除するとGPOが適用されないという事象がありました。というのが、あるメーカーの手順で、ある特定のユーザーにGPOを適用する手順で、Authenticated Usersを残したまま、ユーザーを追加していたので、Authenticated Usersを残していると、すべてのユーザーに適用されてしまうのではと疑問になりました。

 

Authenticated UsersについてGPOとは別ですが、分かりやすい情報がありました。

"Users" と "Authenticated Users" の違いは?

 

なるほど、Users は Guest も含んでいるんですね。これは気がつきませんでした。という事は Guestを有効にしている場合には区別する必要がありますね。。。

結局 Users と Authenticated Users の違いとしては、
‐  Guest など、Users のメンバーのうち、Authenticated Users には含まれないものがある。Windows のバージョンによって多少の違いがあるかも。
‐  Users は、ビルトイングループなので≪その気になれば≫管理者がメンバーを自由に変更できる。
そのほか AD の場合に違いがあるという事ですが、通常は、あまり区別する必要はないようですね。

Authenticated Users の定義がいま一つはっきりせず、ACL を整理するにあたって Everyone や Users の代替として使うのを躊躇していましたが、問題なさそうですので安心しました。

 

 

続いて、セキュリティフィルター処理からAuthenticated Usersを削除するとGPOが適用されないという情報もネットにあったのですが、海外のサイトで詳しく書かれていて納得です。

 

https://azurecloudai.blog/2018/12/31/most-common-mistakes-in-active-directory-and-domain-services-part-1/

 

グループポリシー管理の最近のバージョンでは、[セキュリティのフィルタリング]タブからデフォルトの[認証済みユーザー]を削除すると、警告メッセージが表示されます。

 

そのため、グループポリシーに、「読み取り」アクセス許可を持つ「認証済みユーザー」または「ドメインコンピューター」グループがあることを検証する必要があります。「グループポリシーの適用」アクセス許可を選択せず​​に、必ず「読み取り」アクセス許可のみを指定してください(そうしないと、すべてのユーザーまたはコンピューターがこのグループポリシーを適用します)。

 

結論:コンピューターアカウントのアクセス許可が欠落しているグループポリシー(「認証済みユーザー」、「ドメインコンピューター」、または関連するコンピューターを含むその他のグループ)は適用されません。

正しく行う:グループポリシーのセキュリティフィルタリングを変更するときは、[委任]タブに[認証されたユーザー]グループを追加し、[読み取り]アクセス許可のみを付与してください。

 

つまり、削除する必要はないのかなと思います。時間があるときに検証してみます。

 

ひと目でわかるWindows Server 2019