通常、グループポリシー(GPO)の適用や継承はActive
Directoryのコンテナ(OU)を対象に行います。しかしOUに関係なく特定のユーザーに対しGPOを適用/拒否したい場合があります。
例えば、ユーザーは部署ごとのOUに格納されており、それぞれの部長達(彼らはManagersというグループに所属)にはポリシーを適用したくない…といった場合です。
このような場合は、GPOの「グループポリシーの適用」アクセス許可をManagersグループに対し「拒否」にします。GPOには「アクセス許可」があり、「グループポリシーの適用」アクセス許可が「許可」になっているユーザー、グループに対して適用されます。既定ではAuthenticated
Users(ドメイン内の全ユーザー)に対し「グループポリシーの適用」=「許可」となっています。
≪特定のユーザー(グループ)への「グループポリシーの適用」を拒否にする≫
-
Active Directoryユーザーとコンピュータで、目的のGPOがリンクされているコンテナを右クリックし「プロパティ」−「グループポリシー」タブをクリック
-
拒否したいGPOを選択し「プロパティ」をクリック
-
「セキュリティ」タブをクリックし、「追加」をクリックしてアクセスを拒否したい(ポリシーを適用したくない)ユーザーやグループを指定(今回はManagersグループを指定)し「グループポリシーの適用」を拒否にする
この設定により指定したユーザーまたはグループはこのGPOへのアクセス許可がない(グループポリシーの適用が拒否)ため、ポリシーが適用されなくなります。
