いまではクラウドサービスでデバイスを管理することも多くなってきましたが、いまだに現役のドメインのグループポリシー。
普段からポリシーの設定をすることがあるのですが、うまくポリシーが当たらなかったり、適用されているはずなのに反映されていなかったりとトラブルになることが多々あります。
そういったトラブルシューティングが必要な時にまず基本となるGPOの適用順序とルールについて、自身も良く必要とするので改めて整理してみました。
グループポリシーの適用順序と適用のルール
まず、GPOなどのポリシーは、特定のユーザーに当てるというものではなく、ドメイン全体やOUなどの単位でまとめて適用されています。
そのため、ユーザーもしくはコンピューターは、一つのポリシーのみが適用されるわけではなく、自身が属するコンピューター/サイト/ドメイン/OUに紐付けがされたポリシーが適用される形になります。
グループポリシーの適用は、以下の順序で累積して行われます。
- ローカルコンピューター(ローカルセキュリティポリシーにて定義)※優先順位が低い
- サイト(ドメインのグループポリシーにて定義)
- ドメイン(ドメインのグループポリシーにて定義)
- OU(ドメインのグループポリシーにて定義)※優先順位が高い
各単位に紐付けられたポリシー定義のパラメーターが被っていた場合は、一番最後に適用されたポリシーで上書きされる形となります。なので、例えばローカルポリシーからサイト、ドメイン、OUの全てに異なるポリシー設定がなされていたら一番最後に適用されるOUに紐付けられたポリシーが適用されるようなイメージになります。
ポリシー設定が被っていないものについては、上書きされる要素がないので引き継がれる形となります。なので、ローカルポリシーで設定されたポリシーが他のドメインポリシーで定義されていないものであれば、最終的にローカルポリシーの設定とドメインで定義されたポリシーが適用されることになります。
※基本的にドメインに参加した状態で利用するコンピューターなどは混乱を避けるためにも、ローカルポリシーは定義せず、ドメイングループポリシーにて構成することが望ましいと思われます。
グループポリシーの強制の意味
これがグループポリシーの柔軟なところでもあり、混乱しがちなところでもあるのですが、グループポリシーの強制を行うとそこで設定したポリシーは上書きをさせずに強制的に適用させるということが可能になります。
どういうことかというと、通常ポリシーの適用順序はローカルポリシー→サイト→ドメイン→OUにリンクされたポリシーが最終的に適用されますが、こちらの強制設定を行うと強制設定が行われたGPOは以降に同じレベルのポリシー定義があったとしても上書きを行わずにユーザー/コンピューターへ適用させることができるのです。
例えば、ドメインのポリシーで「非アクティブ状態5分で画面ロック」のポリシーが定義されていたとして、OUで「非アクティブ状態10分で画面ロック」とされていた場合、ドメインで定義されたポリシーを強制することで、「非アクティブ状態5分で画面ロック」のポリシーを強制することができるたりします。
グループポリシーの強制を行う手順は、以下を参考にしてみて下さい。
グループポリシーの継承ブロックの意味
継承のブロックは、これまでに継承されたポリシーを適用せずにブロックし、そこで定義したポリシーのみを適用させるという事が可能です。
例えば、OUの単位で継承のブロックを行うと、それまでに継承されてきたローカルポリシー/サイト/ドメインのポリシーは適用がされず、OUにリンクされたポリシー設定のみが適用されるようなイメージとなります。
ちなみに継承のブロックが可能なのは、ドメインもしくはOUの単位のみとなります。
グループポリシーの強制と継承のブロックの設定は、実際にどのポリシーが適用されるのか判断するのが難しくなってしまうので、基本的には利用せずシンプルなポリシー設計を行うことがよいでしょう。