階層構造を持つ複数のOUに異なるグループポリシーオブジェクト(GPO)をリンクした場合、継承と上書きのルールが関わってくる。また、同じドメイン、あるいはOUに複数のGPOをリンクした場合、優先順位の設定が関わってくる。これらの設定は、[Active Directoryユーザーとコンピューター]管理ツールと同様、GPMCでも変更可能だ。
また、[ユーザーの構成]と[コンピュータの構成]のいずれかだけを適用する設定や、継承のブロックといった機能もある。今週は、これらの機能についてまとめて取り上げる。
GPMCを使った優先順位の変更
まず、GPMC(Group Policy Management Console)を使った優先順位の変更について解説する。新規に追加したGPOリンクの優先順位は最下位になるので、そちらを優先したいときには設定変更が必須になる。
GPMCの画面左側にあるツリー画面で、[フォレスト]-[ドメイン]-[(ドメイン名)]以下にある、優先順位の設定を変更したいドメイン、あるいはOUを選択する。
すると、そこにリンクしているGPOの一覧を画面右側に表示する。このとき、一覧で優先順位を変更したいGPOリンクを選択してから、一覧の左側にある[▲][▼]ボタンをクリックすると、優先順位を上げたり下げたりできる。また、一気に上端、あるいは下端に移動するボタンもある。
GPMCを使った継承の切断と強制
GPMCで、OUに対して上位OUからの継承を意図的に切る設定を行う際には、以下の手順を使用する。
GPMCの画面左側にあるツリー画面で、[フォレスト]-[ドメイン]-[(ドメイン名)]以下にある、継承の設定を変更したいOUを選択する。
継承を切る場合、[操作]メニュー、あるいは右クリックメニューで[継承のブロック]を選択してチェックを入れる。継承を有効にする場合、同じ操作でチェックを外す。
継承をブロックした場合、上位OUに適用したグループポリシーは引き継がないため、当該OUにリンクしたGPOの設定内容だけを適用することになる。
逆に、上位OUにリンクしたGPOの設定を下位のOUに強制適用する設定も可能になっている。この場合、上書きのルールが機能しなくなる。
注意が必要なのは、この設定はOUではなくGPOリンクに対して行う点だ。つまり、「上位OUに対して適用したポリシー設定すべてを下位のOUに強制適用する」のではなく、「上位OUに存在するGPOリンクごとに、下位のOUに強制適用するかどうかを指定する」という内容になる。設定の手順は以下の通りだ。
GPMCの画面左側にあるツリー画面で、[フォレスト]-[ドメイン]-[(ドメイン名)]以下のドメイン、あるいはOUを展開して、そのの下にある、設定を強制したいGPOリンクを選択する。
設定を強制する場合、[操作]メニュー、あるいは右クリックメニューで[強制]を選択してチェックを入れる。強制しない場合、同じ操作でチェックを外す。
なお、強制の指定を有効にしたGPOリンクは、鍵付きのアイコンになるので区別できる。また、下位のOUを選択して画面右側で[グループポリシーの継承]タブを選択すると、継承の対象になるGPOの一覧と、強制の有無を個別に確認できる。
強制の設定を行ったGPOリンクは、アイコンが「鍵付き」に変化する(選択中のもの) |
ユーザー/コンピュータの一方のみを有効化
[コンピュータの構成]と[ユーザーの構成]の一方、あるいは両方を無効化する際の手順は、以下のようになる。この設定はGPOごとに行う。
まず、GPMC左側のツリー画面で、有効化の設定を変更したいGPOを選択する。
次に、[操作]-[GPOの状態]のサブメニュー、あるいは右クリックして[GPOの状態]のサブメニューを使って、設定を変更する。既定値では[有効]にチェックが入っているが、[ユーザーの構成の設定が無効]を選択するとコンピュータの構成のみ、[コンピューターの構成の設定が無効]を選択するとユーザーの構成のみが適用対象となる。[すべての設定が無効]を選択すると、そのGPOを全面的に無効化する。
この操作で注意が必要なのは、無効にする方を選択対象にする点だ。これを間違えると意味が正反対になってしまうので注意したい。