ローカルグループポリシーの強制適用方法

質問

_{2015年3月10日火曜日 3:34}

Windows Server 2008 R2のドメイン環境を構築し、グループポリシーを利用しています。

ドメインに参加した１サーバーのみ（W2K8R2）ローカルグループポリシーを優先（強制や上書き）したいのですが

ActiveDirectory側のグループポリシー設定（強制や上書きやループバック）を使用せずに、

ドメインに参加したサーバーの設定変更のみで（ローカルグループポリシーなど）ローカルグループポリシーを優先させる方法はないでしょうか

※現在、ActiveDirectory側のグループポリシーでは強制や上書きやループバック設定はしていません。

すべての返信 (5)

_{2015年3月10日火曜日 6:25}

チャブーンです。

ActiveDirectory側のグループポリシー設定（強制や上書きやループバック）を使用せずに、
ドメインに参加したサーバーの設定変更のみで（ローカルグループポリシーなど）ローカルグループポリシーを優先させる方法はないでしょうか

残念ですが、そのような方法はありません。もしそんな方法があったなら、グループポリシーで(強制的に)管理者側で設定を指定する、ということができなくなりますので、グループポリシーが用をなさなくなります。ですから、抜け道的な方法は用意されていないでしょう。限定的には、ローカルポリシーのループバック処理でできるようです。

---

_{2015年3月10日火曜日 9:07}

チャブーンさま

ご返信ありがとうございます。

現在、検;中ではありますが、ローカルグループポリシーの「ユーザーグループポリシーループバック」を設定すれば

ローカルグループポリシーで置換されるようです。

上記方法について、注意点や見解等を頂ければ幸いです。

---

_{2015年3月10日火曜日 10:40}

チャブーンです。

現在、検;中ではありますが、ローカルグループポリシーの「ユーザーグループポリシーループバック」を設定すれば
ローカルグループポリシーで置換されるようです。

なるほど。Windows Server 2012 R2ベースですが、確かにおっしゃるような挙動になりますね。注意点としては、したのような感じになるのでしょうか。

• ループバックの「統合」のみ機能します。「置換」は機能しない(期待する結果にならない)ようです。(もしかしたらポリシー内容によって違うのかもしれませんが)
• ユーザーループバック機能を使うので、[ユーザーの構成]のみ機能します。[コンピュータの構成]は変えられません。
• [ローカルグループポリシーオブジェクトの処理を無効にする]ポリシーが、ドメインGPO側で有効であれば機能しません。
• ドメインGPO側で[ユーザーグループポリシーループバックの処理モードを構成する]が[未構成]でない場合、その機能がそのまま使われます(LGPO側での設定は効果がありません)

なお、この設定がMS側で想定内のもの(サポート対象になるかどうか)かどうかは正直わかりませんので、必要があればご自身でMS有償サポートに確認をなさってください。

---

_{2015年3月10日火曜日 12:25}

チャブーンさま

ご丁寧な、返信ありがとうございます。

注意点を含め検;を進めます。

検;結果については、別途ご報告させていただきます。

---

_{2015年3月13日金曜日 1:06}

チャブーンさま

その後の検;結果をご報告させていただきます。

本検;では、Administratorsにローカルグループポリシーを適用したくないため、非管理者用のローカルグループポリシーを作成しています。

ローカルグループポリシー設定のユーザーループバック機能でポリシーを適用可能と判断していますが

ActiveDirectory側のGPOでは、ユーザーの構成に「基本設定」項目がありますがLGPOにはありません。

ローカルグループポリシーに「基本設定」項目を取り込むことは不可能でしょうか

※一般ユーザーがリモートディスクトップアクセスをしてきた場合のスタートメニュー表示を非表示にしたい

上記について、ご教授頂ければ幸いです。