特定のコンピュータにログインする時だけグループポリシーを適用しない （ループバック処理）

ドメインやOUに対しグループポリシーを定義すると、所属しているユーザー及びコンピュータにポリシーが適用されます。しかし特定のコンピュータにログインした時だけポリシーを適用したくない場合があります。 （特定のPCにログインする時だけポリシーを適用したい、でも考え方は同じ）

• 例：社員にはコントロールパネルへのアクセスを禁止しているが、休憩所のPCを利用する時のみ許可したい
  
  　

• 下図のようにAD上でPC-99を他のOUに移動して継承をブロックすれば「コンピュータの構成」ポリシーは適用されませんが、「ユーザーの構成」ポリシーはユーザーに定義されているものですから、PC-99がどのOUにいようと社内のユーザーがログインすれば適用されます。
  

また、ドメインGPOでユーザーに対し「ポリシーの適用」＝「拒否」というセキュリティ設定をすると他のPCにログインした時もポリシーが適用されなくなってしまいます。

このような場合は「ループバック処理」によりコンピュータOUのGPOの「ユーザーの構成」ポリシーを置換適用することができます。

「ループバックの処理」ポリシーを定義する

PC-99が属するOUに新しいGPOをリンク作成し、以下のポリシーを定義します。

「コンピュータの構成」−「管理用テンプレート」−「システム」−「グループポリシー」−「ユーザーグループポリシーループバックの処理モード」＝「有効」にし、［置換］を選択する 。 　 ☆更に場合によっては「ユーザーの構成」ポリシーで、通常適用されるポリシーと異なるポリシーを定義します。

　

このポリシーが適用されたコンピュータにログインしたユーザーには、ユーザー所属OUの「ユーザー構成」ポリシーより、コンピュータ所属OUの「ユーザー構成」ポリシーが優先適用されます。

　

▼「ユーザーグループポリシーループバックの処理モード」が有効の場合、PCは以下の動作を行います。

通常の動作	ループバック処理の動作
◎ コンピュータ起動 ↓ ◎ コンピュータ所属OUの「コンピュータの構成」ポリシーが適用（ローカル→サイト → ドメイン →OU順にGPO適用） ↓ ◎ ユーザーログイン ↓ ◎ ユーザー所属OUの「ユーザーの構成」ポリシーが適用（ローカル→サイト → ドメイン →OU順にGPO適用）	◎ コンピュータ起動 ↓ ◎  コンピュータ所属OUの「コンピュータの構成」ポリシーが適用（ローカル→サイト → ドメイン →OU順にGPO適用） ↓ ◎ ユーザーログイン ↓ ◎ ユーザー所属OUの「ユーザーの構成」ポリシーが適用（ローカル→サイト → ドメイン →OU順にGPO適用） ↓ ★ ループバック処理により、コンピュータ所属OUの「ユーザー構成」ポリシーで置換適用される

　

つまり、今回の場合は“特殊OU”の「コンピュータの構成」ポリシー適用後、“User OU”の「ユーザーの構成」ポリシーが適用され、その後“特殊OU”の「ユーザーの構成」ポリシーが置換適用されることで結果的に“User OU”の「ユーザーの構成」ポリシーを無視することができます。

　

尚、このポリシーを定義する際「置換」と「統合」のいづれかを選択する必要があります。

• 置換… ユーザー所属OUの「ユーザー構成」ポリシーは、コンピュータ所属OUの「ユーザー構成」ポリシーに置換されます。

• 統合… ユーザ所属OUの「ユーザー構成」ポリシーが適用された後、コンピュータ所属OUの「ユーザー構成」ポリシーが追加適用されます。定義内容が競合した場合は、コンピュータ所属OUの「ユーザー構成」ポリシーが優先されます。

☆注意：ループバック処理で使うポリシーが「未構成」となっている場合、以前コンピュータに適用されたポリシー設定がそのまま残る（設定が解除されない）場合があります。このような場合は「未定義」ではなく「有効」「無効」などのポリシーを定義してそのGPOで置換適用しましょう。