概要
最終更新日: 2002年12月18日
ローカル グループ ポリシー オブジェクト (LGPO) が最初に処理され、次にドメイン ポリシーが処理されます。ドメインにコンピュータが参加しており、ドメインとローカル コンピュータ ポリシー間で競合が発生する場合、ドメイン ポリシーが優先されます。ただし、コンピュータがドメインに参加しない場合、ローカル グループ ポリシー オブジェクトが適用されます。
グループ ポリシーはグループ ポリシー オブジェクト (GPO) を利用して管理されます。このデータ構造は、サイト、ドメイン、組織単位 (OU) などの、選択された Active Directory オブジェクトの特定の階層に接続されます。一度作成された GPO は標準的な順序で適用されます。(1) ローカル、(2) サイト、(3) ドメイン、(4) OU を意味する LSDOU では、先に適用されたポリシーより後のポリシーが優先されます。
Active Directory とグループ ポリシーの実装されたドメインに、コンピュータが参加すると、LGPO が処理されます。LGPO ポリシーは、[ポリシーを継承しない] オプションが指定されている場合でも処理される点に注意してください。
アカウント ポリシー (パスワード、ロックアウト、Kerberos) は、既定のドメイン GPO 内のすべてのドメインに定義されます。ドメイン コントローラ (DC) のローカル ポリシー (監査、ユーザー権利、およびセキュリティ オプション)は、既定のドメイン コントローラ GPO に定義されています。DC では、既定の DC GPO に定義された設定が、既定のドメイン GPO に定義された設定よりも優先されます。したがって、ユーザーの特権 (ドメインへのワークステーションの追加など) が、既定のドメイン GPO に設定されている場合、そのドメイン内の DC には何の影響もありません。
注意 : アカウント ポリシーのセキュリティ領域は、ドメイン内のコンピュータに与える影響に関して、特別な処置を受けます。ドメイン内のすべての DC は、DC のコンピュータ オブジェクトの場所に関係なく、ドメイン ノードで設定された GPO からアカウント ポリシーを受け取ります。これにより、すべてのドメイン アカウントで一貫したアカウント ポリシーを確実に実行できます。ドメイン内の DC でないコンピュータもすべて、ローカル アカウントにおけるポリシー取得に関して標準の GPO 階層に準拠します。既定では、メンバーのワークステーションとサーバーが、それぞれのローカル アカウントのドメイン GPO に設定されたポリシーを実行しますが、既定の設定に優先する下位の適用範囲に別の GPO がある場合、この設定が有効になります。
「ローカル セキュリティ ポリシー」、「ドメイン セキュリティ ポリシー」、「ドメイン コントローラ セキュリティ ポリシー」のサブセクションでは、ローカル セキュリティ ポリシー、ドメイン セキュリティ ポリシー、ドメイン コントローラ セキュリティ ポリシーのセキュリティ ポリシー インターフェイスにアクセスする手順が示されています。また、「アカウント ポリシー」と「ローカル ポリシー」のサブセクションでは、セキュリティ ポリシーの設定と管理におけるインターフェイスの使用方法を説明しています。変更が必要なセキュリティ ポリシーの既定の設定と評価された構成の一覧は、それぞれ 『Windows 2000 セキュリティ設定ガイド』 の付録 A と E に記載されています。