セキュリティフィルター処理からAuthenticated Usersを削除するとGPOが適用されないという事象がありました。というのが、あるメーカーの手順で、ある特定のユーザーにGPOを適用する手順で、Authenticated Usersを残したまま、ユーザーを追加していたので、Authenticated Usersを残していると、すべてのユーザーに適用されてしまうのではと疑問になりました。
Authenticated UsersについてGPOとは別ですが、分かりやすい情報がありました。
"Users" と "Authenticated Users" の違いは?
なるほど、Users は Guest も含んでいるんですね。これは気がつきませんでした。という事は Guestを有効にしている場合には区別する必要がありますね。。。
結局 Users と Authenticated Users の違いとしては、
‐ Guest など、Users のメンバーのうち、Authenticated Users には含まれないものがある。Windows のバージョンによって多少の違いがあるかも。
‐ Users は、ビルトイングループなので≪その気になれば≫管理者がメンバーを自由に変更できる。
そのほか AD の場合に違いがあるという事ですが、通常は、あまり区別する必要はないようですね。Authenticated Users の定義がいま一つはっきりせず、ACL を整理するにあたって Everyone や Users の代替として使うのを躊躇していましたが、問題なさそうですので安心しました。
続いて、セキュリティフィルター処理からAuthenticated Usersを削除するとGPOが適用されないという情報もネットにあったのですが、海外のサイトで詳しく書かれていて納得です。
グループポリシー管理の最近のバージョンでは、[セキュリティのフィルタリング]タブからデフォルトの[認証済みユーザー]を削除すると、警告メッセージが表示されます。
そのため、グループポリシーに、「読み取り」アクセス許可を持つ「認証済みユーザー」または「ドメインコンピューター」グループがあることを検証する必要があります。「グループポリシーの適用」アクセス許可を選択せずに、必ず「読み取り」アクセス許可のみを指定してください(そうしないと、すべてのユーザーまたはコンピューターがこのグループポリシーを適用します)。
結論:コンピューターアカウントのアクセス許可が欠落しているグループポリシー(「認証済みユーザー」、「ドメインコンピューター」、または関連するコンピューターを含むその他のグループ)は適用されません。
正しく行う:グループポリシーのセキュリティフィルタリングを変更するときは、[委任]タブに[認証されたユーザー]グループを追加し、[読み取り]アクセス許可のみを付与してください。
つまり、削除する必要はないのかなと思います。時間があるときに検証してみます。
 |
