【AD】GPO設定のおさらい

数年やってなくてごそっと設定方法を忘れたので、おさらいしました。

やってみたかったのは「GPOでクライアントをスリープする時間を制限する」でしたが、試したクライアントが仮想環境だったので全く確認できませんでした！（そらそうか）

以下は、一連のGPO設定。

■OUをつくる
・ADサーバで「グループポリシーの管理」を開く

・ドメイン名を右クリックして、「新規作成」-「OU」を選択し、作成

　OU名：test

・「Active Directory ユーザーとコンピューター」を開く

・「Computers」にあるCP名をドラッグアンドドロップしてOU「test」に追加する

　※今回はコンピューターのGPO設定をするため

■ドメインアカウントをつくる
・OU「test」を右クリックし、「test_pc」を作成
　パスワードも設定

・「test_pc」のグループに「domain admin」を追加する

　※これやらないと、クライアントからログインさせたとき、エラー「このユーザーアカウントはリモートログインを許可されていないため、接続は拒否されました。」が出る。ちなみに、システムのプロパティでリモート接続は許可してた。

（Check）端末でログインできるか確認

（Result）できた

■新規でGPOをつくる
・「グループポリシーの管理」を開く
・「グループポリシーオブジェクト」-「新規」を右クリック

　名前：Windows_test

・GPOの設定をする

　※今回は「コンピューターの構成」を設定

・とじて、「設定」タブを開き、設定を確認
　※設定が更新されなければ「最新の情報に更新」を押す

■OUとGPOをリンクさせる

　・OU「test」までGPO「Windows_test」をドラッグアンドドロップする

（Check）端末で確認

（Result）ぜんぜん適用されない！

　やったこと

　・コマンドプロンプトで「w32tm /config /syncfromflags:DOMHIER」※ADと同期させる

　・コマンドプロンプトで「gpupdate /force」と「gpresult /r」を実行

　・「gpedit.msc」を見てみても、適用されてない

　・コマンドプロンプト（管理者）を開いて「gpresult /h test.html」を確認

　・なんとhtmlファイルだと適用が確認できたので、再起動

■GPOを複製して、設定を一部だけ変える

・「グループポリシーの管理」からコピーしたいGPO名を右クリック、「バックアップ」

・デスクトップにでもバックアップしとく

・新しいGPOをつくって、右クリック、「インポート」を選択。

　デスクトップにとったバックアップをインポートする

・同様に複製できたか、確認

・あとはGPOを編集する