階層構造を持つ複数のOUに異なるグループポリシーオブジェクト(GPO)をリンクした場合、継承と上書きのルールが関わってくる。また、同じドメイン、あるいはOUに複数のGPOをリンクした場合、優先順位の設定が関わってくる。これらの設定は、[Active Directoryユーザーとコンピューター]管理ツールと同様、GPMCでも変更可能だ。

また、[ユーザーの構成]と[コンピュータの構成]のいずれかだけを適用する設定や、継承のブロックといった機能もある。今週は、これらの機能についてまとめて取り上げる。

GPMCを使った優先順位の変更

まず、GPMC(Group Policy Management Console)を使った優先順位の変更について解説する。新規に追加したGPOリンクの優先順位は最下位になるので、そちらを優先したいときには設定変更が必須になる。

  1. GPMCの画面左側にあるツリー画面で、[フォレスト]-[ドメイン]-[(ドメイン名)]以下にある、優先順位の設定を変更したいドメイン、あるいはOUを選択する。

  2. すると、そこにリンクしているGPOの一覧を画面右側に表示する。このとき、一覧で優先順位を変更したいGPOリンクを選択してから、一覧の左側にある[▲][▼]ボタンをクリックすると、優先順位を上げたり下げたりできる。また、一気に上端、あるいは下端に移動するボタンもある。

ドメイン、あるいはOUを選択した状態で、その時点で存在するGPOリンクの優先順位を変更できる

GPMCを使った継承の切断と強制

GPMCで、OUに対して上位OUからの継承を意図的に切る設定を行う際には、以下の手順を使用する。

  1. GPMCの画面左側にあるツリー画面で、[フォレスト]-[ドメイン]-[(ドメイン名)]以下にある、継承の設定を変更したいOUを選択する。

  2. 継承を切る場合、[操作]メニュー、あるいは右クリックメニューで[継承のブロック]を選択してチェックを入れる。継承を有効にする場合、同じ操作でチェックを外す。

継承をブロックした場合、上位OUに適用したグループポリシーは引き継がないため、当該OUにリンクしたGPOの設定内容だけを適用することになる。

ツリー画面でOUを選択した状態で、継承の有無を指定できる。上位OUからの継承を意図的に切る際に使用する機能だ

逆に、上位OUにリンクしたGPOの設定を下位のOUに強制適用する設定も可能になっている。この場合、上書きのルールが機能しなくなる。

注意が必要なのは、この設定はOUではなくGPOリンクに対して行う点だ。つまり、「上位OUに対して適用したポリシー設定すべてを下位のOUに強制適用する」のではなく、「上位OUに存在するGPOリンクごとに、下位のOUに強制適用するかどうかを指定する」という内容になる。設定の手順は以下の通りだ。

  1. GPMCの画面左側にあるツリー画面で、[フォレスト]-[ドメイン]-[(ドメイン名)]以下のドメイン、あるいはOUを展開して、そのの下にある、設定を強制したいGPOリンクを選択する。

  2. 設定を強制する場合、[操作]メニュー、あるいは右クリックメニューで[強制]を選択してチェックを入れる。強制しない場合、同じ操作でチェックを外す。

なお、強制の指定を有効にしたGPOリンクは、鍵付きのアイコンになるので区別できる。また、下位のOUを選択して画面右側で[グループポリシーの継承]タブを選択すると、継承の対象になるGPOの一覧と、強制の有無を個別に確認できる。

GPOリンクに対して強制の設定を行うと、下位のOUにリンクしたGPOと設定が競合したときに当該GPOリンクの内容を強制適用して、下位OUにおける上書きは行わない

強制の設定を行ったGPOリンクは、アイコンが「鍵付き」に変化する(選択中のもの)

OUを選択すると、画面右側の[グループポリシーの継承]タブで、継承の対象になるGPOの一覧と強制の有無を確認できる

ユーザー/コンピュータの一方のみを有効化

[コンピュータの構成]と[ユーザーの構成]の一方、あるいは両方を無効化する際の手順は、以下のようになる。この設定はGPOごとに行う。

  1. まず、GPMC左側のツリー画面で、有効化の設定を変更したいGPOを選択する。

  2. 次に、[操作]-[GPOの状態]のサブメニュー、あるいは右クリックして[GPOの状態]のサブメニューを使って、設定を変更する。既定値では[有効]にチェックが入っているが、[ユーザーの構成の設定が無効]を選択するとコンピュータの構成のみ、[コンピューターの構成の設定が無効]を選択するとユーザーの構成のみが適用対象となる。[すべての設定が無効]を選択すると、そのGPOを全面的に無効化する。

この操作で注意が必要なのは、無効にする方を選択対象にする点だ。これを間違えると意味が正反対になってしまうので注意したい。

GPOで右クリックして[GPOの状態]のサブメニューを使うと、[ユーザーの構成]と[コンピュータの構成]のいずれか一方だけを適用する設定が可能だ