重複するGPOの内容はどのように適用されるの？

グループポリシーの適用順序とトラブル対策

2010年05月18日 09時00分更新

文● 横山哲也／グローバルナレッジネットワーク株式会社

前回は、クライアント管理を効率化するグループポリシーの概要と基本的な設定方法を紹介した。今回は応用として、グループポリシーが適用される順序やトラブル対策の手法をみていこう。

GPO適用の順序

　前回の説明した通り、GPOはサイトやドメイン、OUに割り当てることができる。では、ドメインに「ASCIIポリシー」、その中のOUに「TOKYOポリシー」を割り当てた場合、重複する内容などはどのように適用されるのだろうか。そのルールが以下の通りとなる（図1）。

図1●GPO適用の基本原理

①GPO適用の順序
　サイトー>ドメインー>上位OU->下位OUの順で適用される（図1-①）

②異なるGPOで別のポリシーが設定されている場合、その設定は累積
　ドメインにリンクされたGPOでスクリーンセーバーの構成が行なわれ、上位OUにリンクされたGPOでWindows Updateの構成が行なわれている場合、スクリーンセーバーとWindows Updateの両方が構成される（図1-②）。このように、設定が累積されることを「継承」と呼ぶ。OU階層はGPO設定が継承されるが、ドメイン階層をまたいで継承されることはない。また、サイトには階層の概念がないため継承もない

③あとから適用されたGPOは、以前に適用されたGPOの設定を上書き
　上位OUにリンクされたGPOでスクリーンセーバーのタイムアウトを15分に設定し、下位OUにリンクされたGPOで10分に設定した場合、実際に設定されるのは10分となる（図1-③）。このように、あとから適用されたGPOが以前の値を書き換えることを「上書き」と呼ぶ

　以上のような規則のため、GPOは現場（下位OU）に合った設定を、現場の独自判断で構成できる。ただし、状況によっては原則を変えたいことがある。たとえば、セキュリティポリシーのほとんどは会社全体で一律に定義する必要があり、現場の判断で変更してはならない。そこで、以下のような例外ルールが用意されている。

継承禁止

　上位（サイト、ドメイン、上位OU）のGPOをいっさい適用させないこともできる。この場合、グループポリシーの管理ツールでOUを右クリックし、「継承のブロック」を選択する。継承を禁止すると、後述する「強制」のGPOを除いて、上位のGPOは無視される。上位OUで設定されたGPOの影響を完全に排除したい場合に使うが、実際に便利な場面は少ないだろう。

強制

　継承禁止とは逆に、上位からGPOの適用を強制することもできる。これを「強制」または「上書き禁止」と呼ぶ。継承禁止はOUで設定したが、「強制」はOUやGPOの属性ではなくリンクの属性だ。そのため、リンク済みのGPOを右クリックし、「強制」を選択する（画面1）。

画面1●GPOの適用を下位に強制

　下位で継承禁止が設定され、上位で上書き禁止が設定された場合は、上位の上書き禁止が優先される。たとえば、セキュリティにかかわるような重要な設定は部門の判断ではなく、全社的な指示を徹底する必要がある。そのような場合に「強制」が便利である。

　加えて、強制されたリンクが複数ある場合は、上位のリンクが優先される。通常の継承ルールとは完全に逆になるのは、全社定義のセキュリティポリシーを想定しているためである。「強制」は、全社共通の絶対に譲れないセキュリティポリシーを構成し、ドメインに対するリンクに設定するのが典型的な利用法である。

ポリシーの即時適用

　グループポリシーは、ドメインコントローラで5分ごとに更新される。そのほかのコンピュータでは90分に最大30分のランダムなオフセットが追加される。つまり、90わから120分の間である。この値はグループポリシーで変更できるが、あまりひんぱんに更新するのはパフォーマンス面で望ましくない。

　そこで、ポリシーを即時に適用したい場合は、適用するクライアントのコマンドラインで「GPUPDATE」コマンドを実行する。この場合、ポリシー情報が変更されているかどうかを検査し、変更されていればそれを適用する。ポリシーが変更されていなくても、強制的に設定したい場合は「/FORCE」オプションを追加する。

（次ページ、「グループポリシーのトラブル対策」に続く）

前へ 1 2 3 次へ

ツイートする

カテゴリートップへ