toyotaro's

システムの検証メモを中心に、学んだ事や思った事などを備忘録として書いていく

Active Directory グループポリシーの備忘録

Microsoft

グループポリシーとは

ユーザーやコンピューターに対する設定を一元的に管理するためのActive Directoryの機能。企業で扱うユーザーやコンピューターを同じ設定にしたい場合に利用する。

基本的な使い方

サーバーマネージャーのツールから「グループポリシーの管理(Group Policy Management Console:GPMC)を起動し、グループポリシーの設定を行っていく。

グループポリシーの設定項目が含まれたポリシー単位を「グループポリシーオブジェクト:GPO」と呼び、作成したGPOをコンテナ(サイト、ドメイン、OU)にリンクさせることでポリシーを適用していく。

グループポリシーを利用する際のOU構造は「部署」「拠点」「職種」「コンピューターの種類」などを考慮しつつ、どのようにポリシーを割り当てていくかを考えながら設計する。

GPOの作成・編集・確認

既定で存在するGPO

  • Default Domain Policy
  • Default Domain Controllers Policy

重要な設定が入っているので絶対に削除しないよう注意。編集することも非推奨。

GPOの作成

GPMCの左ペインにある「グループポリシーオブジェクト」の右クリックメニューから「新規」を選択する。

GPOの編集

編集したいGPOの右クリックメニューから「編集」を選択して「グループポリシー管理エディター」を開いて設定する。

GPOの設定内容確認

確認したいGPOを選択して右ペインから「設定」タブを選択する。

GPOのリンクルール

作成したGPOはコンテナ(サイト、ドメイン、OUのいずれか)の右クリックメニューから「既存のGPOのリンク」を選択してリンクさせる。

リンクの基本的ルール その1

 グループポリシーの設定項目は次の2つ。

  1. コンピューターの構成・・・コンピューターに適用される
  2. ユーザーの構成・・・ユーザーに適用される(ログオンしたとき)

ユーザーしか登録していないOUに「コンピューターの構成」だけを設定したGPOをリンクさせても、そのポリシーは誰にも適用されない。

リンクの基本的ルール その2

ユーザーやコンピュータに複数のGPOが適用されている場合、それぞれのGPOは統合されて適用される。

それぞれのGPOに相反する設定があった場合には、優先順位は次のようになる。

  1. 子OU
  2. 親OU
  3. ドメイン
  4. サイト
  5. ローカルコンピューター

処理順 リンク先 GPO 例1 例2 例 3
1 ローカルコンピューター LGPO 有効 有効 未構成
2 サイト GPO 1 無効 未構成 未構成
3 ドメイン GPO 2 有効 無効 未構成
4 親OU GPO 3 有効 有効 未構成
5 子OU GPO 4 無効 未構成 未構成
最終的に適用されるポリシー     無効 有効 未構成

 

リンクの基本的ルール その3

 1つのコンテナ(サイト、ドメイン、OU)に複数のGPOがリンクしている場合は、そのコンテナに対するリンクの優先度を指定できる。優先順位は次のようになる。

  1. 一覧を見た時に上にあるGPO
  2. 一覧を見た時に下にあるGPO

処理順 リンク先 GPO 例1 例2 例 3
1 親OU 下にあるGPO 無効 無効 未構成
2 親OU 上にあるGPO 有効 未構成 未構成
最終的に適用されるポリシー     有効 無効 未構成

 

リンクの基本的ルール その4

GPOの「パスワードポリシー」だけはドメインにリンクされたGPOの設定が適用される。OUにリンクしたGPOにパスワードポリシーを設定しても適用されない。

つまりパスワードポリシーだけはドメインで統一した設定しか適用できないのだが、「Fine-Grained Password Policy:FGPP」を構成すると細かな設定ができる。

FGPPは「パスワード設定オブジェクト:PSO」と呼ばれる設定を作成すると、オブジェクトで指定したユーザーまたはグループにパスワードポリシーが適用される。というもの。FGPPはGPOよりも優先される。

リンクの例外ルール 継承のブロック

継承のブロックの設定はコンテナ(サイト、ドメイン、OU)に行う。

「ポリシーを継承しない」にチェックを入れたコンテナは上位コンテナからのリンクを継承しない。これによって特定コンテナの自律性を確保できる。

リンクの例外ルール 上書き禁止(強制)

上書き禁止(強制)の設定はリンクに行う。

「上書き禁止(強制)」にチェックを入れたリンクは、下位のコンテナでブロックされたり、ほかのリンクによって上書きされない。

上書き禁止(強制)リンクが複数ある場合は、そのリンク間で通常の優先順位ポリシーにしたがって適用するポリシーが決定する。

リンクの例外ルール セキュリティフィルタ

セキュリティフィルタの設定はGPOに行う。

対象全体を含むコンテナにGPOをリンクした上で、特定のグループにのみGPOを適用したい、適用させたくないといった場合に使用する。

GPO>プロパティ>セキュリティで「グループポリシーの適用」が許可されているアカウントにだけグループポリシーが適用される仕組み。

リンクの例外ルール WMIフィルタ

WMIフィルタは、Windows XPまたはWindows Server 2003にGPOが適用されるときにだけ使える機能。

参考

グループポリシーの仕組み、理解できていますか?:基礎から分かるグループポリシー再入門(1) - @IT

第6回 リンクの継承と優先度およびフィルタ機能 (1/3):グループ・ポリシーのしくみ - @IT