結構長いこと苦労してたActiveDirectoryのグループポリシー制御問題をようやく解決できました。
今回他人の誤った設定を修正していくという結構面倒臭い話だったのですが、昨日ようやくGPOの山から”GPOタイトルとは違う隠し設定”を見つけ出し、ぶっ潰す事に成功w
また、新たな手法で設定を上書きする方法も判ったのでいきなり本番環境にブチ込みました(^^ゞ (安全だって判りきってたからねw
ActiveDirectoryと向き合って思ったこと。
・ドメイン直下のDefaultDomainPolicyは強制するとエラい事になる
・DefaultDomainPolicyの設定項目は本当に必要最低限に留める
・1つのGPOには最低限の設定を
・GPO内の設定を消す時は、ただチェック消しただけじゃダメ。”設定のリセット”が必須(ブラウザ)
・アタマがこんがらかってきたら、やりたい事の優先順位を絵にする
・GPOは削除しても、設定自体は残っているので躊躇なくやってOK
・ブラウザ等の設定を上書き処理したい場合のGPO設定は、極力最後の階層・最後の順序でサクっと強制掛ける
一応覚え書き
今回他人の誤った設定を修正していくという結構面倒臭い話だったのですが、昨日ようやくGPOの山から”GPOタイトルとは違う隠し設定”を見つけ出し、ぶっ潰す事に成功w
また、新たな手法で設定を上書きする方法も判ったのでいきなり本番環境にブチ込みました(^^ゞ (安全だって判りきってたからねw
ActiveDirectoryと向き合って思ったこと。
・ドメイン直下のDefaultDomainPolicyは強制するとエラい事になる
・DefaultDomainPolicyの設定項目は本当に必要最低限に留める
・1つのGPOには最低限の設定を
・GPO内の設定を消す時は、ただチェック消しただけじゃダメ。”設定のリセット”が必須(ブラウザ)
・アタマがこんがらかってきたら、やりたい事の優先順位を絵にする
・GPOは削除しても、設定自体は残っているので躊躇なくやってOK
・ブラウザ等の設定を上書き処理したい場合のGPO設定は、極力最後の階層・最後の順序でサクっと強制掛ける
一応覚え書き
※コメント投稿者のブログIDはブログ作成者のみに通知されます