2.6. グループポリシーオブジェクトアクセス制御
グループポリシーは Microsoft Windows の機能の 1 つで、Active Directory (AD) 環境におけるユーザーおよびコンピューターのポリシーを管理者が 1 か所で管理できるようにします。グループポリシーオブジェクト (GPO) は、ドメインコントローラー (DC) に保存されているポリシー設定の集合で、コンピューターやユーザーなどのポリシーターゲットに適用できます。AD 環境におけるコンピューターベースのアクセス制御の管理には、Windows ログオン権限 に関連する GPO ポリシー設定が一般的に使用されます。
2.6.1. GPO アクセス制御を使用した SSSD の仕組み
GPO アクセス制御を適用するように SSSD を設定すると、SSSD はホストシステムおよび AD ユーザーに適用される GPO を取得します。SSSD は、取得した GPO 設定に基づいて、ユーザーが特定のホストにログインできるかどうかを判断します。これにより、管理者は、Linux および Windows クライアントの両方が AD ドメインコントローラーに集中的に有効にするログインポリシーを定義できます。
重要
セキュリティーフィルターリングは、セキュリティーフィルターにリストすることで GPO アクセス制御のスコープを特定のユーザー、グループ、またはホストに制限できる機能です。ただし、SSSD は、セキュリティーフィルター内のユーザーおよびグループのみをサポートします。SSSD は、セキュリティーフィルター内のホストエントリーを無視します。
SSSD が GPO アクセス制御を特定のシステムに適用するようにするには、AD ドメインで新しい OU を作成し、システムを OU に移動してから GPO をこの OU にリンクします。