-
グループポリシーとは
-
グループポリシーを設定、編集するには
-
グループポリシーオブジェクトの適用と優先順位 ★
-
グループポリシーを継承しないようにするには(継承のブロック)
-
グループポリシーの「上書き禁止」−ポリシーの強制適用−
-
GPOの実体グループポリシーテンプレート(GPT)とは
-
管理用テンプレートとは(*.admファイル)
-
管理用テンプレートを追加するには
-
グループポリシーを使ってWordの設定を強制変更する
|
GPOの適用対象(リンク先)
|
GPOは適用対象を指定することができます。適用したいドメインやOU(Active
Directoryに存在するフォルダ)にリンクすることでそれらに所属するユーザーやコンピュータに対しポリシーが有効になります。例えば「総務」にだけ設定したいポリシーがある場合は、総務ユーザーが所属しているOUに対しGPOをリンクさせます。
尚、Active Directoryの上位階層にリンクされたGPOは、下位に全て継承されます。例えば上図のSystem
OUには、@ドメインのGPO、A OfficeUsersのGPO、BSystemOUのGPO、全部で3つが適用されます。(同列階層のGPOは継承されません。例えばjinjiにリンクされているGPOはSystemには継承されません。)
|
GPOの適用順と優先順位
|
複数のGPOが設定されている場合、ローカルポリシー適用後はActive Directoryの上位階層から順に適用されます。
適用するとGPOは上書きされていくため構成がバッティングした場合は最後のGPOが最も強力ということになります。
例えば、下図のSystem に所属しているユーザーやコンピュータには、A、B、Dが適用されますが、最も優先されるポリシーはDとなります。
★
注:GPOの優先適用とは、構成がバッティングした場合のみです。例えば上位のGPOで「無効」となっているポリシーが、下位で「有効」になっていた場合、結果として「有効」となりますが、下位で「未構成」(=ポリシー設定なし)であれば上位GPO「無効」が適用されます。(未構成(ポリシーなし)が適用されるわけではない)
◆ あるOUに対するGPOの適用結果
|
1つのコンテナに複数のGPOをリンクする
|
1つのコンテナ(OU)には、複数のGPOをリンクすることができます。(上からの継承ではなく、対象のOUにGPOを複数リンクすることができます。)例えば下図のように、System
OUに「正社員用のGPO」と「システム部用のGPO」をリンクすることができます。
≪どういう時に便利なの?≫
あるGPOを複数のOUに適用する必要があるがAD上では同階層なので継承されない、または継承させたくないOUが同列に存在する…といった場合に便利です。例えば上図でいえば、「正社員用のGPO」をOffice
Usersにリンクすると、Haken(派遣)にも継承されてしまいます。かといってHakenに「ポリシーを継承しない」設定をするとドメインのGPOも継承されなくなってしまう…などです。
-
コンテナ(OU)を右クリックし「プロパティ」をクリック
-
「グループポリシー」タブをクリックし、新しいGPOを作成してリンクするなら「新規」をクリック、既存GPOをリンクさせるなら「追加」をクリック
★ GPOを追加する場合、「すべて」タブをクリックすると既存の全てのGPOが表示されます。
-
リンクしたGPOは優先度を指定できます。GPOを選択し「上へ」又は「下へ」をクリック
優先度の仕組みは「GPOの適用順と優先順位」と同じです。
★ 例:1つのOUに複数のGPOをリンクした場合の優先順位と適用結果
次へ ≫
4.
グループポリシーを継承しないようにするには(継承のブロック)
≪
トップへ戻る
Active Directory
図解で分かる!ドメイン環境でのグループポリシー入門