Office LTSC入りEC2環境に設定されるグループポリシーを調べてみた

Office LTSC入りEC2環境に設定されるグループポリシーを調べてみた

Clock Icon2022.12.26

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

しばたです。

以前Visual Studio入りAMIが提供された際にEC2インスタンスに自動適用されるグループポリシーについて調査しました。

https://dev.classmethod.jp/articles/group-policy-restrictons-on-visual-studio-ec2-instance/

本記事ではOffice LTSC入りAMIにおいても同様なのか調べてみました。

最初に結論から

最初に結論から言っておくと、Office LTSC入りEC2環境に設定されるグループポリシーはVisual Studio入りAMIの時と同じでした。
おそらくポリシー名が違うくらいの違いしかありません。

両者ともインスタンスにRDP接続するユーザーを制限するためにグループポリシー(マシンポリシー)が自動設定されます。

検証環境

前回の記事の環境をそのまま使っています。

https://dev.classmethod.jp/articles/how-to-use-microsoft-office-ltsc-ami-202212/

AWS License Manager独自OU

AWS License ManagerとAWS Managed Microsoft ADを関連付けるとAWS ReservedOU配下にLicenseManagerOUが作成され、このOU内に関連する各種リソースが作成される点は変わりありません。

リージョン名と対になるOU(東京リージョンの場合はNRTOU)配下にインスタンスIDと同名のOUが作成され、EC2インスタンスのコンピューターオブジェクトとRDP接続可能とするグループが作成される点も同じです。

謎のOffice用グループ

Visual Studioの時と同様にOFFICE_PROFESSIONAL_PLUS-user-groupと言う名前のグループが用意されているのですが、やっぱり使われていませんでした。
Visual Studioの時から変わらず謎のままです...

Office LTSC入りEC2インスタンスに適用されるグループポリシー

各EC2インスタンスに適用されるグループポリシーは下図の通り

  • インスタンスID Access
  • OFFICE_PROFESSIONAL_PLUS インスタンスID Access

の2ポリシーとなります。

ポリシーの内容はVisual Studioの時と同様で

  • マシンポリシーで以下の制限を実施しており、ユーザーポリシーは一切無い
  • 主要なローカルアカウントに対して「ターミナル サービスを使ったログオンを拒否する」
  • インスタンスID-user-group(または OFFICE_PROFESSIONAL_PLUS-user-group)に対して「ターミナル サービスを使ったログオンを許可」
  • Remote Desktop Usersグループの内容を インスタンスID-user-group(または OFFICE_PROFESSIONAL_PLUS-user-group)のみに制限
  • グループポリシーの更新間隔を 15 分ごとに変更 (デフォルトより短い間隔に変更)
  • バックグラウンドでのポリシー更新を許可

となります。
厳密にDiffを取ってはいませんが名前が違う以外は同一設定に見えました。

GPRESULTの結果

今回も参考用にインスタンス内部でGPRESULTコマンドを実行した結果を転記しておきます。

長いのでクリックして展開
# サブスクリプションしたユーザーをAdministratorsグループに所属させたうえで実行
PS C:\> gpresult /Z

Microsoft (R) Windows (R) Operating System Group Policy Result tool v2.0
© Microsoft Corporation. All rights reserved.

Created on 12/26/2022 at 3:56:35 AM

RSOP data for corp\nobunaga on EC2AMAZ-DUUIUIQ : Logging Mode
--------------------------------------------------------------

OS Configuration:            Member Server
OS Version:                  10.0.20348
Site Name:                   Default-First-Site-Name
Roaming Profile:             N/A
Local Profile:               C:\Users\nobunaga
Connected over a slow link?: No

COMPUTER SETTINGS
------------------
    CN=EC2AMAZ-DUUIUIQ,OU=i-0d4c8cf514f4fbcf7-OU,OU=NRT,OU=LicenseManager,OU=AWS Reserved,DC=corp,DC=contoso,DC=com
    Last time Group Policy was applied: 12/26/2022 at 3:51:06 AM
    Group Policy was applied from:      IP-C61301B0.corp.contoso.com
    Group Policy slow link threshold:   500 kbps
    Domain Name:                        corp
    Domain Type:                        Windows 2008 or later

    Applied Group Policy Objects
    -----------------------------
        i-0d4c8cf514f4fbcf7 Access
        OFFICE_PROFESSIONAL_PLUS i-0d4c8cf514f4fbcf7 Access
        Default Domain Policy

    The following GPOs were not applied because they were filtered out
    -------------------------------------------------------------------
        Default Domain Policy
            Filtering:  Not Applied (Unknown Reason)

        Local Group Policy
            Filtering:  Not Applied (Empty)

    The computer is a part of the following security groups
    -------------------------------------------------------
        BUILTIN\Administrators
        Everyone
        BUILTIN\Users
        NT AUTHORITY\NETWORK
        NT AUTHORITY\Authenticated Users
        This Organization
        EC2AMAZ-DUUIUIQ$
        Domain Computers
        Authentication authority asserted identity
        System Mandatory Level

    Resultant Set Of Policies for Computer
    ---------------------------------------

        Software Installations
        ----------------------
            N/A

        Startup Scripts
        ---------------
            N/A

        Shutdown Scripts
        ----------------
            N/A

        Account Policies
        ----------------
            GPO: Default Domain Policy
                Policy:            MaximumPasswordAge
                Computer Setting:  42

            GPO: Default Domain Policy
                Policy:            MinimumPasswordAge
                Computer Setting:  1

            GPO: Default Domain Policy
                Policy:            LockoutBadCount
                Computer Setting:  N/A

            GPO: Default Domain Policy
                Policy:            PasswordHistorySize
                Computer Setting:  24

            GPO: Default Domain Policy
                Policy:            MinimumPasswordLength
                Computer Setting:  7

        Audit Policy
        ------------
            N/A

        User Rights
        -----------
            GPO: i-0d4c8cf514f4fbcf7 Access
                Policy:            DenyRemoteInteractiveLogonRight
                Computer Setting:  Local account
                                   Local account and member of Administrators group

            GPO: OFFICE_PROFESSIONAL_PLUS i-0d4c8cf514f4fbcf7 Access
                Policy:            DenyRemoteInteractiveLogonRight
                Computer Setting:  Local account
                                   Local account and member of Administrators group

            GPO: OFFICE_PROFESSIONAL_PLUS i-0d4c8cf514f4fbcf7 Access
                Policy:            RemoteInteractiveLogonRight
                Computer Setting:  corp\OFFICE_PROFESSIONAL_PLUS-user-group

            GPO: i-0d4c8cf514f4fbcf7 Access
                Policy:            RemoteInteractiveLogonRight
                Computer Setting:  corp\i-0d4c8cf514f4fbcf7-user-group

        Security Options
        ----------------
            GPO: Default Domain Policy
                Policy:            PasswordComplexity
                Computer Setting:  Enabled

            GPO: Default Domain Policy
                Policy:            ClearTextPassword
                Computer Setting:  Not Enabled

            GPO: Default Domain Policy
                Policy:            ForceLogoffWhenHourExpire
                Computer Setting:  Not Enabled

            GPO: Default Domain Policy
                Policy:            RequireLogonToChangePassword
                Computer Setting:  Not Enabled

            GPO: Default Domain Policy
                Policy:            LSAAnonymousNameLookup
                Computer Setting:  Not Enabled

            GPO: Default Domain Policy
                Policy:            @wsecedit.dll,-59058
                ValueName:         MACHINE\System\CurrentControlSet\Control\Lsa\NoLMHash
                Computer Setting:  1

        Event Log Settings
        ------------------
            N/A

        Restricted Groups
        -----------------
            GPO: i-0d4c8cf514f4fbcf7 Access
                Groupname: Remote Desktop Users
                Members:   corp\i-0d4c8cf514f4fbcf7-user-group

            GPO: OFFICE_PROFESSIONAL_PLUS i-0d4c8cf514f4fbcf7 Access
                Groupname: Remote Desktop Users
                Members:   corp\OFFICE_PROFESSIONAL_PLUS-user-group

        System Services
        ---------------
            N/A

        Registry Settings
        -----------------
            N/A

        File System Settings
        --------------------
            N/A

        Public Key Policies
        -------------------
            N/A

        Administrative Templates
        ------------------------
            GPO: i-0d4c8cf514f4fbcf7 Access
                Folder Id: Software\Policies\Microsoft\Windows\Group Policy\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}\NoGPOListChanges
                Value:       0, 0, 0, 0
                State:       Enabled

            GPO: OFFICE_PROFESSIONAL_PLUS i-0d4c8cf514f4fbcf7 Access
                Folder Id: Software\Policies\Microsoft\Windows\System\GroupPolicyRefreshTime
                Value:       15, 0, 0, 0
                State:       Enabled

            GPO: i-0d4c8cf514f4fbcf7 Access
                Folder Id: Software\Policies\Microsoft\Windows\System\GroupPolicyRefreshTimeOffset
                Value:       5, 0, 0, 0
                State:       Enabled

            GPO: i-0d4c8cf514f4fbcf7 Access
                Folder Id: Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableBkGndGroupPolicy
                State:       disabled

            GPO: OFFICE_PROFESSIONAL_PLUS i-0d4c8cf514f4fbcf7 Access
                Folder Id: Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableBkGndGroupPolicy
                State:       disabled

            GPO: i-0d4c8cf514f4fbcf7 Access
                Folder Id: Software\Policies\Microsoft\Windows\Group Policy\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}\NoBackgroundPolicy
                Value:       0, 0, 0, 0
                State:       Enabled

            GPO: OFFICE_PROFESSIONAL_PLUS i-0d4c8cf514f4fbcf7 Access
                Folder Id: Software\Policies\Microsoft\Windows\Group Policy\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}\NoGPOListChanges
                Value:       0, 0, 0, 0
                State:       Enabled

            GPO: OFFICE_PROFESSIONAL_PLUS i-0d4c8cf514f4fbcf7 Access
                Folder Id: Software\Policies\Microsoft\Windows\System\GroupPolicyRefreshTimeOffset
                Value:       5, 0, 0, 0
                State:       Enabled

            GPO: OFFICE_PROFESSIONAL_PLUS i-0d4c8cf514f4fbcf7 Access
                Folder Id: Software\Policies\Microsoft\Windows\Group Policy\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}\NoBackgroundPolicy
                Value:       0, 0, 0, 0
                State:       Enabled

            GPO: i-0d4c8cf514f4fbcf7 Access
                Folder Id: Software\Policies\Microsoft\Windows\System\GroupPolicyRefreshTime
                Value:       15, 0, 0, 0
                State:       Enabled

USER SETTINGS
--------------
    CN=織田 信長,OU=Users,OU=corp,DC=corp,DC=contoso,DC=com
    Last time Group Policy was applied: 12/26/2022 at 3:56:00 AM
    Group Policy was applied from:      IP-C613025C.corp.contoso.com
    Group Policy slow link threshold:   500 kbps
    Domain Name:                        corp
    Domain Type:                        Windows 2008 or later

    Applied Group Policy Objects
    -----------------------------
        N/A

    The following GPOs were not applied because they were filtered out
    -------------------------------------------------------------------
        Local Group Policy
            Filtering:  Not Applied (Empty)

    The user is a part of the following security groups
    ---------------------------------------------------
        Domain Users
        Everyone
        BUILTIN\Administrators
        BUILTIN\Users
        Remote Desktop Users
        REMOTE INTERACTIVE LOGON
        NT AUTHORITY\INTERACTIVE
        NT AUTHORITY\Authenticated Users
        This Organization
        LOCAL
        Authentication authority asserted identity
        i-0d4c8cf514f4fbcf7-user-group
        AWS Delegated Add Workstations To Domain Users
        High Mandatory Level

    The user has the following security privileges
    ----------------------------------------------

        Bypass traverse checking
        Manage auditing and security log
        Back up files and directories
        Restore files and directories
        Change the system time
        Shut down the system
        Force shutdown from a remote system
        Take ownership of files or other objects
        Debug programs
        Modify firmware environment values
        Profile system performance
        Profile single process
        Increase scheduling priority
        Load and unload device drivers
        Create a pagefile
        Adjust memory quotas for a process
        Remove computer from docking station
        Perform volume maintenance tasks
        Impersonate a client after authentication
        Create global objects
        Change the time zone
        Create symbolic links
        Obtain an impersonation token for another user in the same session
        Increase a process working set

    Resultant Set Of Policies for User
    -----------------------------------

        Software Installations
        ----------------------
            N/A

        Logon Scripts
        -------------
            N/A

        Logoff Scripts
        --------------
            N/A

        Public Key Policies
        -------------------
            N/A

        Administrative Templates
        ------------------------
            N/A

        Folder Redirection
        ------------------
            N/A

        Internet Explorer Browser User Interface
        ----------------------------------------
            N/A

        Internet Explorer Connection
        ----------------------------
            N/A

        Internet Explorer URLs
        ----------------------
            N/A

        Internet Explorer Security
        --------------------------
            N/A

        Internet Explorer Programs
        --------------------------
            N/A

最後に

簡単ですが以上となります。
初見で「まあVisual Studioの時と同じだろうな。」と予想していましたが、実際に確認するのも大事なので本記事で記録として残しておきます。

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.