Office LTSC入りEC2環境に設定されるグループポリシーを調べてみた
しばたです。
以前Visual Studio入りAMIが提供された際にEC2インスタンスに自動適用されるグループポリシーについて調査しました。
本記事ではOffice LTSC入りAMIにおいても同様なのか調べてみました。
最初に結論から
最初に結論から言っておくと、Office LTSC入りEC2環境に設定されるグループポリシーはVisual Studio入りAMIの時と同じでした。
おそらくポリシー名が違うくらいの違いしかありません。
両者ともインスタンスにRDP接続するユーザーを制限するためにグループポリシー(マシンポリシー)が自動設定されます。
検証環境
前回の記事の環境をそのまま使っています。
AWS License Manager独自OU
AWS License ManagerとAWS Managed Microsoft ADを関連付けるとAWS ReservedOU配下にLicenseManagerOUが作成され、このOU内に関連する各種リソースが作成される点は変わりありません。
リージョン名と対になるOU(東京リージョンの場合はNRTOU)配下にインスタンスIDと同名のOUが作成され、EC2インスタンスのコンピューターオブジェクトとRDP接続可能とするグループが作成される点も同じです。
謎のOffice用グループ
Visual Studioの時と同様にOFFICE_PROFESSIONAL_PLUS-user-groupと言う名前のグループが用意されているのですが、やっぱり使われていませんでした。
Visual Studioの時から変わらず謎のままです...
Office LTSC入りEC2インスタンスに適用されるグループポリシー
各EC2インスタンスに適用されるグループポリシーは下図の通り
インスタンスID AccessOFFICE_PROFESSIONAL_PLUS インスタンスID Access
の2ポリシーとなります。
ポリシーの内容はVisual Studioの時と同様で
- マシンポリシーで以下の制限を実施しており、ユーザーポリシーは一切無い
- 主要なローカルアカウントに対して「ターミナル サービスを使ったログオンを拒否する」
インスタンスID-user-group(またはOFFICE_PROFESSIONAL_PLUS-user-group)に対して「ターミナル サービスを使ったログオンを許可」- Remote Desktop Usersグループの内容を
インスタンスID-user-group(またはOFFICE_PROFESSIONAL_PLUS-user-group)のみに制限 - グループポリシーの更新間隔を 15 分ごとに変更 (デフォルトより短い間隔に変更)
- バックグラウンドでのポリシー更新を許可
となります。
厳密にDiffを取ってはいませんが名前が違う以外は同一設定に見えました。
GPRESULTの結果
今回も参考用にインスタンス内部でGPRESULTコマンドを実行した結果を転記しておきます。
長いのでクリックして展開
# サブスクリプションしたユーザーをAdministratorsグループに所属させたうえで実行
PS C:\> gpresult /Z
Microsoft (R) Windows (R) Operating System Group Policy Result tool v2.0
© Microsoft Corporation. All rights reserved.
Created on 12/26/2022 at 3:56:35 AM
RSOP data for corp\nobunaga on EC2AMAZ-DUUIUIQ : Logging Mode
--------------------------------------------------------------
OS Configuration: Member Server
OS Version: 10.0.20348
Site Name: Default-First-Site-Name
Roaming Profile: N/A
Local Profile: C:\Users\nobunaga
Connected over a slow link?: No
COMPUTER SETTINGS
------------------
CN=EC2AMAZ-DUUIUIQ,OU=i-0d4c8cf514f4fbcf7-OU,OU=NRT,OU=LicenseManager,OU=AWS Reserved,DC=corp,DC=contoso,DC=com
Last time Group Policy was applied: 12/26/2022 at 3:51:06 AM
Group Policy was applied from: IP-C61301B0.corp.contoso.com
Group Policy slow link threshold: 500 kbps
Domain Name: corp
Domain Type: Windows 2008 or later
Applied Group Policy Objects
-----------------------------
i-0d4c8cf514f4fbcf7 Access
OFFICE_PROFESSIONAL_PLUS i-0d4c8cf514f4fbcf7 Access
Default Domain Policy
The following GPOs were not applied because they were filtered out
-------------------------------------------------------------------
Default Domain Policy
Filtering: Not Applied (Unknown Reason)
Local Group Policy
Filtering: Not Applied (Empty)
The computer is a part of the following security groups
-------------------------------------------------------
BUILTIN\Administrators
Everyone
BUILTIN\Users
NT AUTHORITY\NETWORK
NT AUTHORITY\Authenticated Users
This Organization
EC2AMAZ-DUUIUIQ$
Domain Computers
Authentication authority asserted identity
System Mandatory Level
Resultant Set Of Policies for Computer
---------------------------------------
Software Installations
----------------------
N/A
Startup Scripts
---------------
N/A
Shutdown Scripts
----------------
N/A
Account Policies
----------------
GPO: Default Domain Policy
Policy: MaximumPasswordAge
Computer Setting: 42
GPO: Default Domain Policy
Policy: MinimumPasswordAge
Computer Setting: 1
GPO: Default Domain Policy
Policy: LockoutBadCount
Computer Setting: N/A
GPO: Default Domain Policy
Policy: PasswordHistorySize
Computer Setting: 24
GPO: Default Domain Policy
Policy: MinimumPasswordLength
Computer Setting: 7
Audit Policy
------------
N/A
User Rights
-----------
GPO: i-0d4c8cf514f4fbcf7 Access
Policy: DenyRemoteInteractiveLogonRight
Computer Setting: Local account
Local account and member of Administrators group
GPO: OFFICE_PROFESSIONAL_PLUS i-0d4c8cf514f4fbcf7 Access
Policy: DenyRemoteInteractiveLogonRight
Computer Setting: Local account
Local account and member of Administrators group
GPO: OFFICE_PROFESSIONAL_PLUS i-0d4c8cf514f4fbcf7 Access
Policy: RemoteInteractiveLogonRight
Computer Setting: corp\OFFICE_PROFESSIONAL_PLUS-user-group
GPO: i-0d4c8cf514f4fbcf7 Access
Policy: RemoteInteractiveLogonRight
Computer Setting: corp\i-0d4c8cf514f4fbcf7-user-group
Security Options
----------------
GPO: Default Domain Policy
Policy: PasswordComplexity
Computer Setting: Enabled
GPO: Default Domain Policy
Policy: ClearTextPassword
Computer Setting: Not Enabled
GPO: Default Domain Policy
Policy: ForceLogoffWhenHourExpire
Computer Setting: Not Enabled
GPO: Default Domain Policy
Policy: RequireLogonToChangePassword
Computer Setting: Not Enabled
GPO: Default Domain Policy
Policy: LSAAnonymousNameLookup
Computer Setting: Not Enabled
GPO: Default Domain Policy
Policy: @wsecedit.dll,-59058
ValueName: MACHINE\System\CurrentControlSet\Control\Lsa\NoLMHash
Computer Setting: 1
Event Log Settings
------------------
N/A
Restricted Groups
-----------------
GPO: i-0d4c8cf514f4fbcf7 Access
Groupname: Remote Desktop Users
Members: corp\i-0d4c8cf514f4fbcf7-user-group
GPO: OFFICE_PROFESSIONAL_PLUS i-0d4c8cf514f4fbcf7 Access
Groupname: Remote Desktop Users
Members: corp\OFFICE_PROFESSIONAL_PLUS-user-group
System Services
---------------
N/A
Registry Settings
-----------------
N/A
File System Settings
--------------------
N/A
Public Key Policies
-------------------
N/A
Administrative Templates
------------------------
GPO: i-0d4c8cf514f4fbcf7 Access
Folder Id: Software\Policies\Microsoft\Windows\Group Policy\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}\NoGPOListChanges
Value: 0, 0, 0, 0
State: Enabled
GPO: OFFICE_PROFESSIONAL_PLUS i-0d4c8cf514f4fbcf7 Access
Folder Id: Software\Policies\Microsoft\Windows\System\GroupPolicyRefreshTime
Value: 15, 0, 0, 0
State: Enabled
GPO: i-0d4c8cf514f4fbcf7 Access
Folder Id: Software\Policies\Microsoft\Windows\System\GroupPolicyRefreshTimeOffset
Value: 5, 0, 0, 0
State: Enabled
GPO: i-0d4c8cf514f4fbcf7 Access
Folder Id: Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableBkGndGroupPolicy
State: disabled
GPO: OFFICE_PROFESSIONAL_PLUS i-0d4c8cf514f4fbcf7 Access
Folder Id: Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableBkGndGroupPolicy
State: disabled
GPO: i-0d4c8cf514f4fbcf7 Access
Folder Id: Software\Policies\Microsoft\Windows\Group Policy\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}\NoBackgroundPolicy
Value: 0, 0, 0, 0
State: Enabled
GPO: OFFICE_PROFESSIONAL_PLUS i-0d4c8cf514f4fbcf7 Access
Folder Id: Software\Policies\Microsoft\Windows\Group Policy\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}\NoGPOListChanges
Value: 0, 0, 0, 0
State: Enabled
GPO: OFFICE_PROFESSIONAL_PLUS i-0d4c8cf514f4fbcf7 Access
Folder Id: Software\Policies\Microsoft\Windows\System\GroupPolicyRefreshTimeOffset
Value: 5, 0, 0, 0
State: Enabled
GPO: OFFICE_PROFESSIONAL_PLUS i-0d4c8cf514f4fbcf7 Access
Folder Id: Software\Policies\Microsoft\Windows\Group Policy\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}\NoBackgroundPolicy
Value: 0, 0, 0, 0
State: Enabled
GPO: i-0d4c8cf514f4fbcf7 Access
Folder Id: Software\Policies\Microsoft\Windows\System\GroupPolicyRefreshTime
Value: 15, 0, 0, 0
State: Enabled
USER SETTINGS
--------------
CN=織田 信長,OU=Users,OU=corp,DC=corp,DC=contoso,DC=com
Last time Group Policy was applied: 12/26/2022 at 3:56:00 AM
Group Policy was applied from: IP-C613025C.corp.contoso.com
Group Policy slow link threshold: 500 kbps
Domain Name: corp
Domain Type: Windows 2008 or later
Applied Group Policy Objects
-----------------------------
N/A
The following GPOs were not applied because they were filtered out
-------------------------------------------------------------------
Local Group Policy
Filtering: Not Applied (Empty)
The user is a part of the following security groups
---------------------------------------------------
Domain Users
Everyone
BUILTIN\Administrators
BUILTIN\Users
Remote Desktop Users
REMOTE INTERACTIVE LOGON
NT AUTHORITY\INTERACTIVE
NT AUTHORITY\Authenticated Users
This Organization
LOCAL
Authentication authority asserted identity
i-0d4c8cf514f4fbcf7-user-group
AWS Delegated Add Workstations To Domain Users
High Mandatory Level
The user has the following security privileges
----------------------------------------------
Bypass traverse checking
Manage auditing and security log
Back up files and directories
Restore files and directories
Change the system time
Shut down the system
Force shutdown from a remote system
Take ownership of files or other objects
Debug programs
Modify firmware environment values
Profile system performance
Profile single process
Increase scheduling priority
Load and unload device drivers
Create a pagefile
Adjust memory quotas for a process
Remove computer from docking station
Perform volume maintenance tasks
Impersonate a client after authentication
Create global objects
Change the time zone
Create symbolic links
Obtain an impersonation token for another user in the same session
Increase a process working set
Resultant Set Of Policies for User
-----------------------------------
Software Installations
----------------------
N/A
Logon Scripts
-------------
N/A
Logoff Scripts
--------------
N/A
Public Key Policies
-------------------
N/A
Administrative Templates
------------------------
N/A
Folder Redirection
------------------
N/A
Internet Explorer Browser User Interface
----------------------------------------
N/A
Internet Explorer Connection
----------------------------
N/A
Internet Explorer URLs
----------------------
N/A
Internet Explorer Security
--------------------------
N/A
Internet Explorer Programs
--------------------------
N/A
最後に
簡単ですが以上となります。
初見で「まあVisual Studioの時と同じだろうな。」と予想していましたが、実際に確認するのも大事なので本記事で記録として残しておきます。
