【Management】「グループポリシー基本設定」でのパスワードを設定する場合の注意

少し前になるのですが、本社のグループポリシーチームのBLOGに以下の投稿がありました。

Passwords in Group Policy Preferences (updated)
https://blogs.technet.com/grouppolicy/archive/2009/04/22/passwords-in-group-policy-preferences-updated.aspx

グループポリシーの基本設定ってご存知ですよね。Windows Server 2008 から実装されたもので、スタートアップスクリプトやログオンスクリプトの複雑化を解消することができるポリシー設定です。

このBLOGを要約すると、以下のようなことを言っています。

グループポリシーの基本設定では、その設定項目の中でパスワードを入力する必要があるものがあり、そこで設定したパスワードはポリシーの実体であるXMLファイルに、読み取れない形式で保存されている。
ただしグループポリシーの性格上、その保存先はSYSVOLであり、全ての認証済みユーザーが読み取り可能となっている。ぶっちゃけて言ってしまえば not secured なので、パスワードを設定する場合にはよく考慮してみて欲しい。特に administrator アカウントの影響は大きすぎるので、できれば専用のアカウントを作成して使用することをお勧めする。

うーん、なんとも喉の奥から搾り出したような書き方ですが、ひとまず現状の仕様はそうなっているので気をつけてくださいということなのです。

では、実際にどうなっているのか見てみます。

以下は、グループポリシー基本設定 に用意されているドライブマップの設定画面です。

ご覧いただけるとおり、マップに使用するユーザーIDとパスワードを設定することができます。

image

このポリシーを保存すると、以下のように SYSVOLフォルダ配下のパスにXMLファイルとして保存されます。

image

実際に上記のXMLファイルを見てみると、以下のように記載されており、パスワードは確かにエンコードされています。

image

ちなみに、グループポリシーチームのBLOGにも書かれていますがグループポリシー基本設定 の中でユーザーIDとパスワードを設定することができるのは、以下の通りです。

  • ローカルユーザー
  • データソース
  • ドライブマップの作成(上記の通り)
  • タスクスケジューラ
  • サービスのアカウント設定