前回はUbuntuマシンをActive Directory
今回はUbuntuマシンを利用するADユーザーやUbuntuマシンにGPOを適用します。
OU、GPO、ADユーザーの作成
今回はグループポリシーオブジェクト
まずはOUを作成します。スタートメニューのexample.
ドメイン)
Ubuntuマシン、ADユーザーのそれぞれにグループポリシーが適用される様子がわかりやすくなるよう、次の2つのOUを作成します。
- adsysTestComputerOU:コンピューターオブジェクトを所属させるためのOU
- adsysTestUserOU:ADユーザーを所属させるためのOU
続いて、それぞれのOUに対応するGPOを作成します。同じくスタートメニューを開き
- adsysTestComputerOU:
adsysTestComputerGPO
- adsysTestUserOU:
adsysTestUserGPO
最後に、ADユーザーを作成します。再びadsysTestUserOU
に所属させることにしましょう。adsysTestUserOU
の上で右クリックし、
ADユーザーへのポリシーの適用状況を確認する
この状態で一度、Ubuntuマシンから、ADユーザーに適用されるGPOを確認しておきます。Ubuntuマシンに接続し、先ほど作成したADユーザーであるubuntuユーザーとしてログインします。
$ sudo login Ubuntu-2404 login: [email protected] パスワード: ... Applying user settings
ログインしたらGPOの適用状況を確認します。
[email protected]@Ubuntu-2404:~$ adsysctl applied Policies from machine configuration: - Default Domain Policy ({31B2F340-016D-11D2-945F-00C04FB984F9}) Policies from user configuration: - adsysTestUserGPO ({7C0B49C8-86B7-444C-B37F-4D5EF323EDF3}) - Default Domain Policy ({31B2F340-016D-11D2-945F-00C04FB984F9})
コンピューターオブジェクトとしては特に何も操作していないため、"machine configuration"
一方、"user configuration"adsysTestUserOU
に所属するため、このOUにリンクされたadsysTestUserGPO
のポリシーが適用されていることがわかります。もっとも、この段階ではadsysTestUserGPO
にポリシーを設定していないため、特に効果はありません。次節にて設定してみます。
振り返りになりますが、比較のためにAdministratorユーザーで同様の確認してみます。
[email protected]@Ubuntu-2404:~$ adsysctl applied Policies from machine configuration: - Default Domain Policy ({31B2F340-016D-11D2-945F-00C04FB984F9}) Policies from user configuration: - Default Domain Policy ({31B2F340-016D-11D2-945F-00C04FB984F9})
Administratorユーザーの場合、特にOUに属していないため、ユーザーポリシーはデフォルトのドメインポリシーだけが適用されていることがわかります。
このように、GPOのリンクされたOUに属するユーザーには、そのGPOのユーザーポリシーが適用されます。
ユーザーポリシーを設定する
それでは、adsysTestUserGPO
のユーザーポリシーを設定してみます。再びドメインコントローラーでadsysTestUserGPO
を右クリック、
左側のツリーから
この設定項目をダブルクリックして開きます。
「ヘルプ」
これを.desktop
ファイル名をリスト形式で記述していきます。[2]あるいは"Override value for 24.
今回はわかりやすくFirefoxのアイコンだけをお気に入りのアプリケーションとして表示させます。'firefox_
が該当するとあります。したがって、[ 'firefox_
と入力します。設定が完了すると次のスクリーンショットのような状態となります。
ちなみに、Ubuntu 20.'firefox.
となっているようなので、Ubuntu 20.
それでは、ユーザーポリシーを適用してみます。ユーザーポリシーはログイン時に適用されるため、ログアウト・adsysctl
を使ってみます。
[email protected]@Ubuntu-2404:~$ adsysctl update
すると、お気に入りのアプリケーションにFirefoxのみが表示され、他のアイコンが消えます。
ちなみに、ポリシーの
- Type: dconf
- Key: /org/gnome/shell/favorite-apps
とある通りこの設定は対象ユーザーのdconfの/org/
キーの値を変更することで実現しています。実際の設定を確認してみましょう。
[email protected]@Ubuntu-2404:~$ dconf read /org/gnome/shell/favorite-apps ['firefox_firefox.desktop']
コンピューターポリシーを適用する
ユーザーポリシーと同様にコンピューターポリシーも設定してみましょう。今回はお手軽にログイン画面の背景を変えます。
先ほどと同様にadsysTestComputerGPOの
これをダブルクリックして開きます。デフォルトで状態は'file:///
と入力します
なお、お気に入りのアプリケーションと同様に、こちらも"Override value for 24.
ちなみにデフォルトでは次のような背景です。
さて、適用対象となるUbuntuマシンはこの時点では特にOUに属していません。よって、ポリシーを設定したadsysTestComputerGPOも適用されないため、コンピューターオブジェクトのOUを移動しGPOが適用されるようにします。
ドメインコントローラーからadsysTestComputerOU
を選択して
ツリーからadsysTestComputerOU
を開くとコンピューターが移動しているはずです。
続いて対象マシンに移りコンピューターポリシーを適用します。GPOをリフレッシュするadsys-gpo-refresh.
をトリガーするadsys-gpo-refresh.
が設定されています。そのため、待っていればそのうち適用されます。しかし、デフォルトではタイマーの設定が90分のため、最大90分待つ必要があります。
$ systemctl cat adsys-gpo-refresh.timer # /usr/lib/systemd/system/adsys-gpo-refresh.timer [Unit] Description=Refresh ADSys GPO for machine and users [Timer] OnBootSec=90min OnUnitActiveSec=90min [Install] WantedBy=timers.target
GPOをすぐ適用したい場合は、ローカル管理者権限でadsys-gpo-refresh.
を起動させます[4]。
$ sudo systemctl start adsys-gpo-refresh.service
ログイン画面を見ると背景が変わっているはずです。
こちらもポリシーの
- Type: dconf
- Key: /com/ubuntu/login-screen/background-picture-uri
とある通り、dconfの当該キーの値を変更することで実現しています。ただし、ログイン画面なので変更されているのはgdmユーザーのキーです。
$ sudo -u gdm DCONF_PROFILE=gdm dconf read /com/ubuntu/login-screen/background-picture-uri 'file:///usr/share/backgrounds/ubuntu-default-greyscale-wallpaper.png'
ログイン画面の背景が変わったようにadsysctlから見てもadsysTestComputerGPO
のコンピューターポリシーが適用されていることがわかります。
[email protected]@Ubuntu-2404:~$ adsysctl applied Policies from machine configuration: - adsysTestComputerGPO ({4E7EE036-D420-4AB5-B6A2-D3D3BA68A184}) - Default Domain Policy ({31B2F340-016D-11D2-945F-00C04FB984F9}) Policies from user configuration: - adsysTestUserGPO ({7C0B49C8-86B7-444C-B37F-4D5EF323EDF3}) - Default Domain Policy ({31B2F340-016D-11D2-945F-00C04FB984F9})
今回は実際にUbuntuマシン向けにユーザーポリシーやコンピューターポリシーを設定し、adsysによりポリシーが適用される様子を確認しました。また、ADユーザーやコンピューターの所属するOUの違いにより適用されるGPOが変わってくることも確認しました。
ただ、第837回の最後で触れたようなドメインユーザーに管理者権限を与えるということはまだできません。これを実現するためにはUbuntu Proサブスクリプションが必要です。
次回はUbuntuマシンにUbuntu Proサブスクリプションを適用することで設定できるようになるポリシーについて紹介します。