GPO のスコープと継承を実装する
GPO のポリシー設定では、構成を定義します。 ただし、GPO での構成の変更によって組織内のコンピューターまたはユーザーが影響を受ける前に、GPO が適用されるコンピューターまたはユーザーを指定する必要があります。 これを GPO のスコープ設定と呼びます。 GPO のスコープは、GPO の設定を適用するユーザーとコンピューターのコレクションです。
重要
対象のユーザーとコンピューターが含まれる OU に GPO をリンクすることで、GPO のスコープを設定します。
GPO のスコープを設定する
ドメイン ベースの GPO のスコープを管理するには、いくつかの方法を使用できます。 1 つ目は GPO リンクです。 AD DS では、GPO を次のものにリンクすることができます。
- サイト
- ドメイン
- OU
このようにすると、そのサイト、ドメイン、または OU が、GPO の最大スコープになります。 GPO のポリシー設定によって指定されている構成は、サイト、ドメイン、または OU 内のすべてのコンピューターとユーザーに反映されます (子 OU 内のものも含まれます)。 1 つの GPO を複数のドメイン、OU、またはサイトにリンクすることができます。
注意事項
GPO を複数のドメイン フォレスト内の複数のサイトにリンクすると、ポリシーを適用するときにパフォーマンスの問題が発生する可能性があります。その場合は、GPO を複数のサイトにリンクしないようにする必要があります。 これは、複数フォレストで複数サイトのネットワークでは、GPO が作成されたドメインのドメイン コントローラーに GPO が格納されるためです。 その結果、他のドメインのコンピューターは、低速のワイド エリア ネットワーク (WAN) リンクを通して GPO を取得することが必要になる場合があります。
次の表で説明する 2 種類のフィルターのいずれかを使用して、GPO のスコープをさらに絞り込むことができます。
Assert
説明
セキュリティ
GPO のスコープに関連しますが、GPO を明示的に適用する必要がある、または適用してはならない、セキュリティ グループまたは個々のユーザーやコンピューター オブジェクトを指定します。
WMI
オペレーティング システムのバージョンや空きディスク領域など、システムの特性を使用してスコープを指定します。
セキュリティ フィルターと WMI フィルターを使用して、GPO リンクによって作成された最初のスコープ内のスコープを絞り込むか、指定します。 Windows 10 が実行されているコンピューターの一覧を生成する WMI フィルターの例を次に示します。
select * from Win32_OperatingSystem where Version like "10.%"
GPO の処理順序
ユーザー、コンピューター、またはその両方に適用される GPO は、そのすべてに一度に適用されるわけではありません。 GPO は特定の順序で適用されます。 後で処理される設定が競合すると、最初に処理された設定が上書きされる可能性があります。
グループ ポリシーは、次の階層処理順序に従います。
- ローカル GPO。
- サイトにリンクされた GPO。
- ドメインにリンクされた GPO。
- OU にリンクされた GPO。
- 子 OU にリンクされた GPO。
重要
グループ ポリシー アプリケーションでの既定のルールでは、最後に適用されたポリシー (最も具体的なポリシー) が使用されます。
たとえば、ドメイン レベルで適用されたコントロール パネルへのアクセスを制限するポリシーは、その特定の OU に含まれるオブジェクトに対する OU レベルで適用されたポリシーによって元に戻される可能性があります。
複数の GPO を 1 つの OU にリンクすると、その処理は、管理者がグループ ポリシー管理コンソールの [リンクされたグループ ポリシー オブジェクト] タブで指定した順序で実行されます。 既定では、すべての GPO リンクの処理が有効になります。 コンテナーの GPO リンクを無効にすることで、特定のドメインまたは OU に対する GPO の適用を完全にブロックすることができます。 たとえば、最近行った GPO の変更により、運用環境で問題が発生するようになった場合は、問題が解決されるまでリンクを無効にすることができます。
注意
GPO が他のコンテナーにリンクされていて、リンクが有効になっている場合は、GPO の処理が続けられることに注意してください。
また、ユーザーまたはコンピューターとは関係なく、特定の GPO のユーザーまたはコンピューターの構成を無効にすることもできます。 ポリシーの 1 つのセクションが空であることがわかっている場合、他のセクションを無効にすると、ポリシーの処理速度が若干向上します。 たとえば、ユーザーのデスクトップ構成のみを提供するポリシーがある場合は、ポリシーのコンピューター セクションを無効にすることができます。
GPO の継承
複数の GPO でポリシー設定を構成することができ、それにより GPO が互いに競合する可能性があります。 この場合、GPO の優先順位によって、クライアントに適用されるポリシー設定が決まります。 優先順位の低い GPO ではなく、優先順位の高い GPO が使用されます。 優先順位は数値で決定されます。 各 GPO に優先順位の値があります。 値が小さいほど、優先順位は高くなります。 そのため、優先順位が 1 の GPO が、他のすべての GPO より優先されます。
グループ ポリシーの既定の動作では、上位レベルのコンテナーにリンクされた GPO が、下位レベルのコンテナーによって継承されます。 コンピューターが起動するか、ユーザーがサインインすると、グループ ポリシー クライアント拡張機能によって AD DS 内のコンピューター オブジェクトまたはユーザー オブジェクトの場所が調べられ、そのコンピューターまたはユーザーが含まれるスコープの GPO が評価されます。 次に、クライアント側の拡張機能により、これらの GPO のポリシー設定が適用されます。 ポリシーが適用される順序は、最初にサイトにリンクされているポリシー、次にドメインにリンクされているポリシー、その後で OU にリンクされているポリシーです。 GPO のこのような順次適用により、ポリシーの継承と呼ばれる効果が生まれます。 ポリシーが継承されるということは、ユーザーまたはコンピューターのポリシーの結果セット (RSoP) が、サイト、ドメイン、OU のポリシーの累積的な影響となることを意味します。
継承をブロックする
ドメインまたは OU を構成して、ポリシー設定が継承されないようにすることができます。 これは、継承のブロックと呼ばれます。 継承をブロックするには、右クリックするか、GPMC コンソール ツリーでドメインまたは OU のコンテキスト メニューにアクセスして、[継承のブロック] を選択します。
[継承のブロック] オプションはコンテナーのプロパティであるため、グループ ポリシー階層の親にリンクされている GPO からのすべてのグループ ポリシー設定がブロックされます。
注意事項
継承をブロックすると、グループ ポリシーの優先順位と継承の評価が困難になるため、[継承のブロック] オプションは控えめに使用してください。
ヒント
セキュリティ グループ フィルターを使用すると、最初の場所で適切なユーザーとコンピューターだけに適用されるように、GPO のスコープを慎重に設定することができ、[継承のブロック] オプションを使用する必要がなくなります。
GPO リンクを適用する
さらに、GPO リンクを強制するように設定することもできます。 GPO リンクを適用するには、右クリックするか、コンソール ツリーで GPO リンクのコンテキスト メニューにアクセスし、ショートカット メニューの [強制] を選択します。
GPO リンクを [強制] に設定すると、その GPO は最高レベルの優先順位になります。 その GPO のポリシー設定が、他の GPO の競合するポリシー設定より優先されます。
重要
強制されたリンクは、継承をブロックするように設定されている子コンテナーにも適用されます。 [強制] オプションを選択すると、そのスコープ内のすべてのオブジェクトにポリシーが適用されます。
強制は、企業の IT セキュリティおよび使用ポリシーによって義務付けられている構成が定義されている GPO を構成する必要がある場合に便利です。 その場合、同じレベルまたは下位のレベルにリンクされている他の GPO で、それらの設定が上書きされないようにする必要があります。 GPO のリンクを強制することにより、これを行うことができます。
優先順位の評価
GPO の優先順位の評価を容易にするには、単に OU またはドメインを選択し、[グループ ポリシーの継承] タブを選択します。このタブには、GPO のリンク、リンクの順序、継承のブロック、リンクの強制が考慮された結果の、GPO の優先順位が表示されます。
重要
このタブでは、サイトにリンクされているポリシー、GPO のセキュリティ、または WMI フィルターは考慮されません。