教えて!HELPDESK      Excel     Word      Outlook      Power Point      Windows

 

 

特定のコンピュータにログインする時だけグループポリシーを適用しない (ループバック処理)

 

 

  

 


 

  


  

 

ドメインやOUに対しグループポリシーを定義すると、所属しているユーザー及びコンピュータにポリシーが適用されます。しかし特定のコンピュータにログインした時だけポリシーを適用したくない場合があります。 (特定のPCにログインする時だけポリシーを適用したい、でも考え方は同じ)

  • 例:社員にはコントロールパネルへのアクセスを禁止しているが、休憩所のPCを利用する時のみ許可したい

     

  • 下図のようにAD上でPC-99を他のOUに移動して継承をブロックすれば「コンピュータの構成」ポリシーは適用されませんが、「ユーザーの構成」ポリシーはユーザーに定義されているものですから、PC-99がどのOUにいようと社内のユーザーがログインすれば適用されます。

また、ドメインGPOでユーザーに対し「ポリシーの適用」=「拒否」というセキュリティ設定をすると他のPCにログインした時もポリシーが適用されなくなってしまいます。

このような場合は「ループバック処理」によりコンピュータOUのGPOの「ユーザーの構成」ポリシーを置換適用することができます。


「ループバックの処理」ポリシーを定義する

PC-99が属するOUに新しいGPOをリンク作成し、以下のポリシーを定義します。

「コンピュータの構成」−「管理用テンプレート」−「システム」−「グループポリシー」−「ユーザーグループポリシーループバックの処理モード」=「有効」にし、[置換]を選択する 。

 

☆更に場合によっては「ユーザーの構成」ポリシーで、通常適用されるポリシーと異なるポリシーを定義します。

 

このポリシーが適用されたコンピュータにログインしたユーザーには、ユーザー所属OUの「ユーザー構成」ポリシーより、コンピュータ所属OUの「ユーザー構成」ポリシーが優先適用されます。

 

▼「ユーザーグループポリシーループバックの処理モード」が有効の場合、PCは以下の動作を行います。

通常の動作

ループバック処理の動作

◎ コンピュータ起動

◎ コンピュータ所属OUの「コンピュータの構成」ポリシーが適用(ローカル→サイト → ドメイン →OU順にGPO適用)


◎ ユーザーログイン

◎ ユーザー所属OUの「ユーザーの構成」ポリシーが適用(ローカル→サイト → ドメイン →OU順にGPO適用)

◎ コンピュータ起動

◎  コンピュータ所属OUの「コンピュータの構成」ポリシーが適用(ローカル→サイト → ドメイン →OU順にGPO適用)


◎ ユーザーログイン

◎ ユーザー所属OUの「ユーザーの構成」ポリシーが適用(ローカル→サイト → ドメイン →OU順にGPO適用)

★ ループバック処理により、コンピュータ所属OUの「ユーザー構成」ポリシーで置換適用される

 

つまり、今回の場合は“特殊OU”の「コンピュータの構成」ポリシー適用後、“User OU”の「ユーザーの構成」ポリシーが適用され、その後“特殊OU”の「ユーザーの構成」ポリシーが置換適用されることで結果的に“User OU”の「ユーザーの構成」ポリシーを無視することができます。

 

尚、このポリシーを定義する際「置換」と「統合」のいづれかを選択する必要があります。

  • 置換… ユーザー所属OUの「ユーザー構成」ポリシーは、コンピュータ所属OUの「ユーザー構成」ポリシーに置換されます。

  • 統合… ユーザ所属OUの「ユーザー構成」ポリシーが適用された後、コンピュータ所属OUの「ユーザー構成」ポリシーが追加適用されます。定義内容が競合した場合は、コンピュータ所属OUの「ユーザー構成」ポリシーが優先されます。

☆注意:ループバック処理で使うポリシーが「未構成」となっている場合、以前コンピュータに適用されたポリシー設定がそのまま残る(設定が解除されない)場合があります。このような場合は「未定義」ではなく「有効」「無効」などのポリシーを定義してそのGPOで置換適用しましょう。

 

 

教えて!HELPDESK      Excel     Word      Outlook      Power Point      Windows