ヘルプより。

ドメインの機能によってグループへ追加できるオブジェクトが変わる部分がいつも曖昧になるのでメモ。

ネストを使用して、グループを別のグループのメンバとして追加できます。グループをネストすることで、メンバ アカウントを統合し、レプリケーション トラフィックを減少させます。ネストのオプションは、Windows Server 2003 ドメインのドメイン機能が Windows 2000 ネイティブ モードに設定されているか Windows 2000 混在モードに設定されているかによって決まります。

機能レベルが Windows 2000 ネイティブ モードに設定されているドメインのグループや、機能レベルが Windows 2000 混合モードに設定されているドメインの配布グループは、次のメンバを持つことができます。
ユニバーサル スコープのグループに追加できるメンバは次のとおりです。
　アカウント、コンピュータ アカウント、ユニバーサル スコープの他のグループ、および任意のドメインのグローバル スコープのグループです。
グローバル スコープのグループに追加できるメンバは次のとおりです。
　同じドメインのアカウント、および同じドメインのグローバル スコープの他のグループです。
ドメイン ローカル スコープのグループに追加できるメンバは次のとおりです。
　アカウント、ユニバーサル スコープのグループ、および任意のドメインのグローバル スコープのグループです。
　このグループには、同じドメイン内にある他のドメイン ローカル スコープのグループもメンバとして追加できます。

機能レベルが Windows 2000 混合モードに設定されているドメインのセキュリティ グループでは、次のようなメンバシップの種類に限定されます。
グローバル スコープのグループのメンバはアカウントだけです。
ドメイン ローカル スコープのグループに追加できるメンバは、グローバル スコープの他のグループとアカウントです。
ドメイン機能レベルが Windows 2000 混合モードに設定されているドメインには、ユニバーサル スコープのセキュリティ グループは作成できません。ユニバーサル スコープがサポートされるのは、ドメイン機能レベルが Windows 2000 ネイティブ モードまたは Windows Server 2003 に設定されているドメイン内だけです。

情報漏えい対策ガイド (Windows 編)
http://www.microsoft.com/japan/windowsserver2003/activedirectory/kinko/default.mspx

MSKK 側で書かれたみたいです(つまり、ただの翻訳版ではない)。
おそらく日本ユーザからのリクエストに答えたものだと思われます。

以下の項目に関して書かれています。
・リムーバブル記憶装置の使用制限
・暗号化ファイルシステム (EFS) による情報漏えい対策
・Active Directory に格納されている個人情報を隠す

全てが Active Directory を利用した展開をベースに記述されてますが、ワークグループなPCでも利用できるものもありますので読んでみてはいかがでしょうか？

もっと前にあれば、嬉しかったな...

以前の書き込みに以下のようなメモをしました。
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Diagnostics
DWORD : RunDiagnosticLoggingGroupPolicy : 1

これトラブル シューティングの時には結構役立ちますねぇ
また、グループ ポリシーのシーケンスをトラッキングできるので勉強にもなります。

なのですが、OU毎にGPOをゲットしようとしているのもイベント ログに出力されるのを見ると、
OUの階層を深くしたり、GPOを段階的に適用した場合、結構ネットワーク トラフィックが心配になったりと...

あと、結構な量のイベント ログが出力されますので、実運用環境でこいつは使うべきではないですね。

[スタート] メニューから [ファイル名を指定して実行] を削除する
という項目がGPOにありますが、これを設定するとユーザビリティにおいていろいろな制限があります。
キチンと説明を読まねば、エンジニア失格です。＞自分
以下は説明です。

--- ここから ---
[スタート] メニュー、Internet Explorer、およびタスク マネージャから [ファイル名を指定して実行] を削除します。
この設定を有効にした場合、次のような変更が発生します:
(1) [ファイル名を指定して実行] が [スタート] メニューから削除される
(2) タスク マネージャから [新しいタスク] コマンドが削除される
(3) ユーザーは次の Internet Explorer アドレス バーに次の項目を入力できなくなる
--- UNC パス: \\<サーバー>\<共有>
---ローカル ドライブへのアクセス:  例: C:
--- ローカル フォルダへのアクセス: 例: \temp
また、拡張キーボートを使用しているユーザーは、アプリケーション キー (Windows のロゴが付いているキー) + R を押して [ファイル名を指定して実行] を表示することはできなくなります。
この設定を無効にした場合、または構成しなかった場合は、ユーザーは [スタート] メニューやタスク マネージャの [ファイル名を指定して実行] を使うことができ、また Internet Explorer のアドレス バーも利用できます。
注意: この設定は特定のインターフェイスにのみ影響します。ユーザーはほかの方法を使ってプログラムを実行することができます。
注意: Windows 2000 またはそれ以降のオペレーティング システム互換のサードパーティ アプリケーションは、この設定に従うことが必要とされています。
--- ここまで ---

特に、アドレスバーに関しては結構痛いかもしれませんね。
う～ん、もうちょっと細やかに設定ができるとうれしいなぁ

Active Directory環境下のWindows XP Professionalにおいて、ユーザのログオン後3分も経過してからユーザのポリシーが適用されるという現象に遭遇。

これ（↓）を読んで一応は知ってたんですが、初遭遇なので、少々面食らってしまいました。
Troubleshooting Group Policy in Microsoft® Windows® Server
http://www.microsoft.com/downloads/details.aspx?FamilyId=B24BF2D5-0D7A-4FC5-A14D-E91D211C21B2&displaylang=en

KBはこちら（↓）です。
Windows XP Professional の高速ログオン最適化機能について
http://support.microsoft.com/default.aspx?scid=kb;ja;305293

お初にお目にかかったので、原因についてもうちょっと調査したかった。が、別件で手一杯のため手を付けられず...
これを再現させることに挑戦してみたい。原因って何だろう？ネットワーク？クライアントPCのスペック？

続いてはこちら、こういう設定したいって要望は結構ありますな。

これ設定することで動作しなくなるアプリケーションがあったりするので、注意が必要です。

strPatternDN = "OU=Worker, OU=Users, OU=Sales, DC=yama3, DC=net"
strWorkstations = "pc1,pc2,pc3,pc4,pc5,pc6,pc7,pc8,pc9,pc10"

Set objOU = GetObject("LDAP://" & strPatternDN)
objOU.Filter = Array("User")

For Each objItem in objOU
    Err.Clear

    strUser = objItem.CN
    WScript.Echo strUser
    Set objUser = GetObject("LDAP://CN=" & strUser & ", " & strPatternDN)
    objUser.Put "userWorkstations", strWorkstations
    objUser.SetInfo

    If Err.Number <> 0 Then
        WScript.Echo " Error"
        WScript.Echo " " & Err.Number
        WScript.Echo " " & Err.Description
        WScript.Echo " " & Err.Message
        Err.Clear
    End If
Next

ここで言ってるAdministratorとは、ドメインのAdministratorではなくて、
ドメインに参加しているコンピュータのローカルなAdministratorです。

Active Directoryを利用している環境だと、こんなことがしたくなったりします。

これに関係する実装項目としては、
・Administratorのアカウント名の変更
・Administratorを無効化する（ある程度運用が安定したところで適用することが多い）
この2つはGPOsで可能です。
＃前者はほぼ必須の実装項目です

ということでタイトルのことをやるスクリプトはこちら
こいつを定期的に実行するってのが理想的ですね。

[スタート] メニューから [プリンタと FAX] を削除したいけどGPOsにそれらしき項目が見当たらない...
手動で削除することはできるのに...

ということで、以下のようにレジストリをいぢればOKです。何でGPOsにないんだろ？

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Start_ShowPrinters" = REG_DWORD:0x00000000

Windows 2000でも可能かどうかは手元にないので未確認です。
＃そもそも [スタート] メニューに [プリンタと FAX] ってありましたっけ？

LCS に関係しそうなグループポリシーの一覧[GPO1.xls (27 KB)]を作ってみました。
＃他にも関係する項目があるかも知れませんが...

近いうちに、これらのポリシーを適用するとどうなるか検証する予定です。

グループ ポリシー にてコンピュータのロックを抑制することが可能です。
しかぁ～し！Windows XP ではこの ポリシー を有効にしても ロック が可能なのです！
その理由は、「Windows キー + L キー」です。これはどうにもならんらしいです。
＃そういえば TechEd の共用PCは「Windows キー + L キー」が無効化されてたなぁ

KB にその記事を見つけたので めも
英語：http://support.microsoft.com/default.aspx?scid=kb;EN-US;835410
日本語：http://support.microsoft.com/default.aspx?scid=kb;JA;835410
＃日本語の方は機械翻訳なので、むしろ混乱するっす。

Service Pack 2 で解決するって言われてもなぁ。
まだまだ適用 NG な環境多いしなぁ。

差分パッチの提供してくれないかなぁ...
って Winlogon.exe が更新されるんですかぁ？では差分パッチも期待薄。ってかなし。

「Windows キー + L キー」って意外と知られてないので OK ってことで...ダメだよなぁ。



この書き込みは、休日にも関わらず出勤している友人からの質問への回答です。
＃休日出勤ご苦労様です。

意外とこのネタの記事が少ないみたいなので めも
＃MSFTのドキュメントもいまいちだし...

～ここでの想定状況～
ドメインコントローラ（以下DC）が複数台ある環境で、
1台目のDC（FSMOなやつ）がご臨終で起動もしない。
バックアップも使えない状態でDCを復旧したい。
ドメインを[test.net]とする。
1台目のDC（死んだほう）をDC1、２台目のDC（生き残り）をDC2とする。

①操作マスタを強制的にDC2に移動
コマンド プロンプトで以下を入力する（途中でYesNoを聞かれたらYesを選択する）
ntdsutil
ntdsutil:roles
fsmo maintenance:connections
server connections:connect to server DC2
server connections:quit
fsmo maintenance:seize RID master
fsmo maintenance:seize PDC
fsmo maintenance:seize infrastructure master
fsmo maintenance:seize domain naming master
fsmo maintenance:seize schema master
fsmo maintenance:quit
ntdsutil:quit

②グローバルカタログを強制的にDC2に移動
[Active Directory サイトとサービス]を開き
[Site]-[Default-First-Site-Name]-[Servers]-[DC2]-[NTDS Settings]
を右クリックし[プロパティ]を選択。[グローバルカタログ]のチェックをオンにする。

③DC1のコンピュータアカウントを削除
[Active Directory ユーザーとコンピュータ]を開きDC1のコンピュータアカウントを削除。
多分削除できないので、以下を実行してか再度実行する。
OSのCDについているWindows 2000 Support Toolsのインストールが必要。
Windows 2000 Support ToolsのADSI Editを起動。
[Domain NC [DC1.test.net]]-[DC=test,DC=net]-[OU=Domain Controllers]-[CN=DC1]
を右クリックし[プロパティ]を選択する。
［Attributes］タブで[Select which properties to view]を「Both」にする。
[Select a property to view]を「userAccountControl」にする。
[Edit Attirubte]に「4096」を入力し、[Set]を選択する。

④接続オブジェクトを削除
[Active Directory サイトとサービス]を開き
[Site]-[Default-First-Site-Name]-[Servers]-[DC1]-[NTDS Settings]と
[Site]-[Default-First-Site-Name]-[Servers]-[DC2]-[NTDS Settings]の
配下にある接続オブジェクトを削除する。

⑤DC1を再インストール
OSを再インストールし、DC1を普通に2台目のDCとして再構築する。
DC1のコンピュータ名やIPアドレスなどのネットワーク情報は同じにしておいた方が、後々問題が出ない。

⑥複製（Active Directoryの同期）待ち
しばし放置プレイ。（デフォルトは15分待ち）
[Active Directory サイトとサービス]から強制的に複製を実行しても良い。

⑦操作マスタをDC1へ移動
以下の5つの操作を行い、操作マスタをDC1へ移動する。
RIDマスタ
　DC1上で[Active Directory ユーザーとコンピュータ]を開き、
　ドメイン名（test.net）を右クリックし[操作マスタ]を選択。
　[RID]タブで[変更]ボタンをクリック
PDCエミュレータ
　DC1上で[Active Directory ユーザーとコンピュータ]を開き、
　ドメイン名（test.net）を右クリックし[操作マスタ]を選択。
　[PDC]タブで[変更]ボタンをクリック
インフラストラクチャマスタ
　DC1上で[Active Directory ユーザーとコンピュータ]を開き、
　ドメイン名（test.net）を右クリックし[操作マスタ]を選択。
　[インフラストラクチャ]タブで[変更]ボタンをクリック
ドメイン名前付けマスタ
　DC1上で[Active Directory ドメインと信頼関係]を開き、
　[Active Directory ドメインと信頼関係]を右クリックし[操作マスタ]を選択。
　[変更]ボタンをクリック。
スキーママスタ
　DC2上で[ファイル名を指定して実行]から「mmc」を起動し、「Active Directory スキーマ」を追加。
　[Active Directory スキーマ]を右クリックし、[ドメインコントローラの変更]を選択。DC1に接続する。
　[Active Directory スキーマ]を右クリックし[操作マスタ]を選択。[変更]ボタンをクリック。
　「Active Directory スキーマ」を利用するには「Windows 2000 管理ツール」のインストールが必要。

⑧グローバルカタログをDC1へ移動
[Active Directory サイトとサービス]を開き
[Site]-[Default-First-Site-Name]-[Servers]-[DC1]-[NTDS Settings]
を右クリックし[プロパティ]を選択。[グローバルカタログ]のチェックをオンに、
[Site]-[Default-First-Site-Name]-[Servers]-[DC2]-[NTDS Settings]
を右クリックし[プロパティ]を選択。[グローバルカタログ]のチェックをオフにする。

あっ、これってWindows 2000 Serverの環境です。
Windows Server 2003はしばしお待ちを...
多分そうかわんないと思います。

ドメインのセキュリティ設定において、「Authenticated Users」に対して「内容一覧の表示」を禁止すると、Windows 2000 Pro はGPOが適用されるんですが、なぜか Windows XP Pro にはGPOが適用されません。アカウント ポリシーすら適用されないのです！
Windows XP Pro には以下のイベント2つがアプリケーション ログに記録されます。

イベントの種類: エラー
イベント ソース: Userenv
イベント カテゴリ: なし
イベント ID: 1030
ユーザー:  NT AUTHORITY\SYSTEM
説明:
グループ ポリシー オブジェクトの一覧を照会できません。この理由を説明するメッセージのログは、以前にこのポリシー エンジンによって記録されています。

イベントの種類: エラー
イベント ソース: Userenv
イベント カテゴリ: なし
イベント ID: 1101
ユーザー:  NT AUTHORITY\SYSTEM
説明:
Active Directory にあるオブジェクト OU=Group,DC=yama3,DC=mine,DC=nu にアクセスできません。オブジェクトへのアクセスが拒否されている可能性があります。グループ ポリシーの処理は中止されました。

検証したActive Directoryの構成情報
　ドメイン コントローラ - Windows 2000 Server
　クライアント - Windows 2000 Pro / Windows XP Pro

本来この設定は、OUに対して実施するんで特に問題は発生しないと思うんですが、なぜXPにだけこの現象が発生するんでしょうね？ドメイン コントローラをWindows Server 2003にすれば発生しないんでしょうかね？時間があれば調査したい内容です。

最近はActive Directoryにどっぷりな毎日です。
コード書いてるよりも面白さを感じている自分に驚いています。

そんなこんなで、ドメイン内のサーバをいかに監視するかという点も検討しています。
＃実はクライアントも監視したかったりして（笑）

ということで、イベントログとプロセス情報をRSSとして出力し、
サーバの状態を監視する仕組みを試しに作ってみました。
＃JP1みたいなものを購入できれば良いんですが、結構費用がかさばりますしね

ソースはまだちょっと公開できるレベルになってないので、きちんと書き直してそのうち公開する予定です。
＃思いつきで色々書いたのでボロボロ...

最近仕事でActive Directoryの検証を（セキュリティ周りを中心に）行っています。

Active Directoryってすごいんですよ。
「ここまでできるのか！」と驚くばかりです。

特にグループポリシーを使いこなせれば、
ユーザの行動をかなりのレベルまで抑制することもできます。

今までの案件でActive Directoryを構築したことはあったのですが、
開発のウエイトが重かったので、ここまで詳細に把握していませんでした。

現在MCADを目指していますが、Active Directoryの資格取得も考えようかと思う今日この頃です。

やってしまいました。

今日空き時間を見つけてActive Directoryを使ったセキュリティ設定の検証を行っていたのですが、
何を思ったかOUのルートのグループポリシーでスタートアップスクリプトに
Cドライブのファイルを全削除するやつを設定してしまいました。
もちろん再起動後に全端末のCドライブがクリアされ御臨終となってしまいました。
＃クライアントだけでなくDCまでも...

いやぁVirtual PCでよかった。