今回はグループポリシーの強制設定(上書きされない設定)についての内容となります。グループポリシーの操作はドメイン全体に影響が発生するので、操作を行う際は、ポリシーの適用順序や動作について理解した上で行いましょう。
グループポリシーの適用順序
Active Directory ドメインのグループポリシーは、ドメインに参加しているコンピューターやユーザーにコンピューターの使用ルールを準拠させるために利用されます。その他にもワークグループ環境などで使われるローカルポリシーというものもあります。
これらのポリシーには適用順序があり、あとから適用されたポリシーがコンピューターに対して最終的に適用されるポリシーとなります。適用順序としては、以下の通りとなります。
- ローカルコンピューター
- サイト
- ドメイン
- OU
このように一番最後に適用される OU ポリシーが優先される動作となります。
基本的にはこのような流れでポリシー設計を行いますが、OU ポリシーがドメインポリシーで定義しているものと同じものを設定している場合、OU 側のポリシーが優先されてしまいます。そのような際にポリシーの強制適用を行うことで、指定したポリシーが上書きされないようにすることができます。
※ポリシーの強制を行うと実際にどのポリシーがあたっているのかが整理しづらくなってしまうため、基本的には強制を使わない形での設計を行っていく必要があります。
ポリシーの強制について
グループポリシーの強制を行うには、グループポリシーの管理から操作を行います。
1.グループポリシーの管理にて、強制を行う対象のグループポリシーオブジェクトを右クリックで選択し、[強制]をクリックします。
2.強制を行うと、右側の「スコープ」タブのグループポリシーがリンクされている対象のオブジェクト欄から「強制」が「はい」と変更されます。また、左ペインのポリシーのアイコンに鍵のマークが表示されます。
以上でグループポリシーの強制を行うことができます。
設定を行ったあとはグループポリシーの結果ウィザードやクライアント側にて適用されているポリシーについて確認を行いましょう。