はじめに:
アクティブディレクトリ(AD)では、ユーザーやコンピューターに特定の設定を実装するための重要な機能であるグループポリシーがあります。管理者は、グループポリシードキュメント(GPO)を作成し、それをドメイン、サイト、組織単位(OU)に関連付けることで、AD内のオブジェクトに数百の異なる設定を適用できます。皮肉なことに、グループポリシーの多様性がその複雑さを高めることもあります。グループポリシーはドメイン全体に単一の設定を指定できますが、複数の地理的場所に分散する数百のユーザーやコンピューターに対して特定の設定を容易に指定することはできません。また、多数のポリシーが存在する場合、特定のユーザーやコンピューターに適用される設定を判定することが困難になることがあります。
AD階層内で、上位のオブジェクトに関連するグループポリシー設定は下位のオブジェクトに継承されます。また、デフォルトのドメインポリシーはドメインにリンクされ、すべてのドメイン階層の子オブジェクトによって継承されます。これをGPOの継承と言います。これにより、管理者はドメインやサイトレベルで共通のポリシーセットを指定しながら、OUレベルで特定のポリシーを設定できるようになります。
グループポリシーの継承は多くの場合に役立ちます。例えば、財務部門にいくつかの変更を加える必要があると仮定します。あなたは「財務設定」と呼ばれるGPOを作成し、それを財務OUにリンクすることができます。リンク後、「財務設定」は財務OUのすべてのユーザーとOUに含まれるすべてのものに適用されます。
アクティブディレクトリーにおけるGPOの継承とブロック:
アクティブディレクトリーでは、GPOはGPO適用の順序に沿って自動的に継承されます。最上位ドメインレベルでグループポリシー設定が有効であり、OUレベルで設定されていない場合、最上位ドメインレベルの設定が優先され、適用されます。同様に、ドメインレベルで設定されておらずOUレベルで無効にされている場合、OUの設定が継承されます。
あるOUのユーザーまたはコンピュータには、複数のGPOが適用されることがあります。たとえば、ローカルグループポリシー、サイトにリンクされたGPO、ドメインにリンクされたGPO、OUにリンクされたGPOなどです。また、これらのコンテナに複数のGPOをリンクすることができます。以下は、グループポリシー設定が適用される順序です。
-
ローカルグループポリシー設定が最初に適用されます。
-
次にサイトレベルでリンクされたGPO、その後ドメインレベルおよびOUレベルでリンクされたGPOが適用されます。OUにリンクされたGPOは最後に処理されるため、最も優先度が高くなります。
-
ネストされたOUの場合、親OUにリンクされたGPOが先に適用され、その後で子OUにリンクされたGPOが適用されます。
-
コンテナに複数のGPOがリンクされている場合、リンク順が最も低いGPOが最も高い優先度を持ちます。
-
コンテナに適用されているGPOのリストを表示するには、コンテナをダブルクリックして右ペインのグループポリシー継承タブを選択します。リンク順序、場所、および状態が表示されたGPOのリストが表示されます。
ユーザーまたはコンピュータに適用されるポリシー設定の最終構成は、各GPOで定義されたすべてのポリシー設定を組み合わせたものです。競合がある場合、優先度の高いGPOで構成されたポリシー設定が、優先度の低いGPOを上書きします。ただし、この動作はブロック継承オプションを使用して変更できます。特定のOUにリンクされたGPOで構成されたポリシー設定のみを適用し、継承をブロックするには、OUを右クリックしてブロック継承を選択します。これにより、ドメインレベル、サイトレベル、親OUにリンクされたGPOからのすべてのポリシー設定がブロックされます。
GPOの適用:
GPOは強制することができ、この場合、ドメインや親OUなど上位レベルのコンテナにリンクされたGPOが、下位レベルのコンテナにリンクされたGPOよりも優先されます。GPOを強制するには、コンテナにリンクされたGPOを選択します。GPOを右クリックして強制を選択します。
強制されたGPOは、そのコンテナに対して「継承のブロック」オプションが有効にされている場合でも、下位レベルのコンテナに適用されます。ここからグループポリシー更新を強制する方法を学びます。
GPOの無効化:
デフォルトでは、GPOのコンピュータ設定およびユーザ設定のポリシー設定は有効になっており、GPOがリンクされているコンテナ内のすべてのユーザおよびコンピュータに適用されます。しかし、特定の期間にGPOを無効にする必要が生じる場合があります。GPOを無効にするには、次の手順に従います:
-
左ペインのGPMCスナップインでコンテナをダブルクリックし、そのコンテナにリンクされたGPOのリストを表示します。
-
無効にする必要があるGPOを選択します。右ペインで[詳細]タブを選択します。
-
GPOのステータスドロップダウンリストで、以下の設定のいずれかを選択します。
ご利用いただける4種類のGPOステータスには以下があります。
-
「すべての設定を無効」にすることで、GPOを無効化できます。
-
コンピュータ設定のみを無効にするには、「コンピュータ設定を無効」を選択してください。
-
ユーザ設定のみを無効にするには、「ユーザ設定を無効」を選択してください。
PowerShellを用いた継承設定
PowerShellコンソールを使用して継承を設定することができます。継承管理の手順は以下の通りです。
継承のブロックと解除:
-
PowerShellを開きます。
-
以下のコマンドレットを実行して、指定されたドメインまたは組織単位(OU)の継承をブロックまたは解除します:
Set-GPInheritance
[-Target] <String>
-IsBlocked <BlockInheritance>
[-Domain <String>]
[-Server <String>]
[-WhatIf]
[-Confirm]
[<CommonParameters>]
注:TargetオプションはドメインまたはOUのLightweight Directory Access Protocol(LDAP)識別名を指定します。IsBlockedパラメータは継承をブロックするか解除するかを指定します。
継承情報の取得:
-
PowerShellを開きます。
-
特定のドメインまたはOUのグループポリシー継承情報を取得するには、以下のコマンドレットを使用します:
Get-GPInheritance
[-Target] <String>
[-Domain <String>]
[-Server <String>]
[<CommonParameters>]
Active Directoryは、管理者にグループポリシーオブジェクトに対するより強力なコントロールを提供します。ブロック/解除継承やグループポリシーの適用といったグループポリシー管理機能により、管理者はActive Directory内で成功裏にグループポリシーを実装するために必要なオプションを持てます。特に大規模な組織では、複数のGPOがActive Directory内の異なるレベルに適用されることがあり、一部のGPOが誤って他のものを上書きしてしまうことがあります。
