次の方法で共有


グループ ポリシーの処理

既定では、グループ ポリシーは継承、累積され、Active Directory コンテナーとその子のすべてのコンピューターとユーザーに影響します。 コンピューター関連のポリシー設定は、ユーザー関連のポリシー設定をオーバーライドします。

グループ ポリシー オブジェクト (GPO) は、次の順序で処理されます。

  1. ローカル GPO が適用されます。
  2. サイトにリンクされている GPO が適用されます。
  3. ドメインにリンクされている GPO が適用されます。
  4. 組織単位にリンクされている GPO が適用されます。 ネストされた組織単位 (OU) の場合、子組織単位にリンクされた GPO が適用される前に、親組織単位にリンクされた GPO が適用されます。

ヒント

GPO が処理される順序は重要です。これは、ポリシーが適用されると、以前に適用されたポリシーが上書きされるためです。

既定の継承方法では、最上位の親 Active Directory コンテナーから始まるグループ ポリシーを評価します。 コンピューターまたはユーザーに最も近い Active Directory コンテナーは、上位レベルの Active Directory コンテナーで設定されたグループ ポリシーをオーバーライドします。 その GPOリンクのオプションを強制するように設定した場合、またはブロック継承設定が適用された場合、継承は無視されます。 ローカル グループ ポリシーは、ドメインベース ポリシーの前に処理されます。 Active Directory コンテナーにリンクされている GPO のポリシー設定は、ローカル ポリシー設定をオーバーライドします。

複数の GPO を Active Directory コンテナーにリンクできます。 グループ ポリシー オブジェクト リンクの一覧のリンク順序が最も低い GPO リンクは、既定で優先されます。

グループ ポリシーのしくみ

コンピューター設定のグループ ポリシーは、コンピューターの起動時に適用されます。 グループ ポリシーは、ユーザーのログオン時に適用されます。 このポリシーの初期処理は、フォアグラウンド ポリシー アプリケーションとも呼ばれます。

グループ ポリシーのフォアグラウンド処理は、同期または非同期にすることができます。 同期モードでは、コンピューター ポリシーが正常に適用されるまで、コンピューターはシステムの起動を完了しません。 ユーザーのログオン プロセスは、ユーザー ポリシーが正常に適用されるまで完了しません。 非同期モードでは、同期処理を必要とするポリシーの変更がない場合、コンピューター はコンピューター ポリシーの適用が完了する前に開始シーケンスを完了できます。 非同期モードの場合、ユーザー ポリシーの適用が完了する前に、ユーザーがデスクトップを使用することもできます。 その後、システムはバックグラウンドでグループ ポリシーを定期的に適用 (更新) します。 更新中、ポリシー設定は非同期的に適用されます。

すべてのポリシー処理は、60 分以内に完了する必要があります。 このタイムアウト期間を変更する方法はありません。

グループ ポリシー (フォアグラウンド ポリシー アプリケーションとも呼ばれます) の初期処理後、システムは定期的にグループ ポリシーをバックグラウンドで適用 (更新) します。 更新中、ポリシー設定は非同期的に適用されます。

既定では、90 分ごとに更新されます。 システムは、更新間隔に最大 30 分のランダムな時間を追加する場合があります。 これらの既定値は、グループ ポリシーに対する Administrative Templates 拡張機能のグループ ポリシー設定を使用して変更できます。 この値を 0 分に設定すると、リフレッシュ レートが 7 秒に設定されます。 バックグラウンド更新中にすべてのグループ ポリシー拡張機能が処理されるわけではありません。 たとえば、フォルダー リダイレクト処理は、ユーザーがログオンしたときにのみ行われます。 また、ソフトウェア インストール ポリシーの処理は、コンピューターの起動時とユーザーのログオン時にのみ行われます。

システムはバックグラウンド更新中にグループ ポリシーのスクリプト拡張機能を処理しますが、個々のスクリプトは、コンピューターの起動とシャットダウン、およびユーザーのログオンとログオフ時にのみ実行されます。

ポリシーの更新中、既定では、クライアント側拡張機能は、GPO の 1 つまたは GPO の一覧への変更を検出した場合にのみ、ポリシー設定を再適用します。 この動作は、パフォーマンス上の理由によるものです。

GPO の実施

ユーザーまたはコンピューターの特定のグループに対して常に実施する必要があるポリシー設定があるかどうかを判断します。 これらのポリシー設定を含む GPO を作成し、適切なサイト、ドメイン、または OU にリンクし、これらのリンクを実施済みとして指定します。 このオプションを設定すると、下位レベルの Active Directory コンテナー内の GPO で GPO がオーバーライドされないようにすることで、上位レベルの GPO のポリシー設定を適用できます。 たとえば、ドメイン レベルで特定の GPO を定義し、実施オプションを設定した場合、GPO を含むポリシーは、ドメイン下のすべての OU に適用されます。 下位レベルの OU にリンクされている GPO は、適用されたドメイン グループ ポリシーをオーバーライドできません。 複数の GPO が同じサイト、ドメイン、または OU でリンクされていて、適用オプションが設定されている場合は、適用する GPO リンクが最も高く設定されます。

継承をブロックする

OU レベルでブロック継承オプションを使用すると、ローカル、サイト、ドメイン、および上位の OU レベルで適用される設定を停止できます。 継承をブロックすると、親の継承が OU 内のコンピューターまたはユーザーの構成に影響を与えなくなります。 ブロックされた継承は、通常は OU 内のコンピューターとユーザーに適用される設定を停止しますが、この設定では、適用されたオプションにリンクされた GPO を介して適用される設定はブロックされません。 適用はリンク プロパティであり、ブロック ポリシーの継承はコンテナー プロパティです。 適用は、ブロック ポリシーの継承よりも優先されます。

さらに、他の 4 つの方法で GPO 自体のポリシー設定を無効にできます。

  • GPO は無効にできます
  • GPO のコンピューター設定を無効にできます
  • そのユーザー設定が無効
  • すべての設定が無効

グループ ポリシー フィルター

セキュリティ フィルター処理または Windows Management Instrumentation (WMI) フィルターを使用して GPO を適用するかどうかをフィルターできます。

セキュリティ フィルターを使用すると、GPO で受け取るユーザーとコンピューターを絞り込み、ポリシー設定を適用できます。 セキュリティ グループ フィルターは、GPO がグループ、ユーザー、またはコンピューターに適用されるかどうかを決定します。 GPO 内の異なるポリシー設定では、セキュリティ グループ フィルターを選択的に使用することはできません。

WMI を使用すると、WMI クエリを使用してグループ ポリシーのアプリケーションをフィルター処理できます。 WMI フィルターを使用する場合、GPO は WMI クエリの条件を満たすセキュリティ プリンシパルに適用されます。 各 GPO は、1 つの WMI フィルターにリンクできます。ただし、同じ WMI フィルターは複数の GPO にリンクできます。 WMI フィルターを GPO にリンクする前に、フィルターを作成する必要があります。 WMI フィルターは、グループ ポリシーの処理中に対象コンピューターで評価されます。 GPO は、WMI フィルターが True と評価された場合にのみ適用されます。

ループバック処理モード

ループバック処理モードでは、ログオンするユーザーに関係なく、コンピューターに割り当てられたグループ ポリシー オブジェクトのユーザー構成設定が適用されます。 ループバック処理は、ユーザーに割り当てられた GPO のユーザー設定をマージまたは置き換えます。 このポリシー設定は、教室、パブリック キオスク、受信エリアなど、特殊な用途のコンピューターを備えた特定の密接に管理された環境で適しています。 たとえば、使用しているコンピューターに基づいてユーザー設定を変更する必要がある特定のサーバーに対してこのポリシー設定を有効にすることができます。 ループバック処理モードのポリシー設定を有効にすると、コンピューターに適用されたポリシーに基づいて、コンピューターにサインインするすべてのユーザーに同じユーザー ポリシー設定を適用するようにシステムに指示されます。

GPO でループバック処理ポリシー設定を有効にすると、サインインするコンピューターに基づいてユーザー ポリシー設定を構成できます。 ループバック処理を行わない場合、コンピューター オブジェクトを適用する GPO は、コンピューターの構成設定のみを処理します。 ユーザーに適用される GPO は、ユーザー構成設定のみを処理します。 ループバック処理モードのポリシー設定を有効にする場合は、GPO の [コンピューター構成] と [ユーザー構成] の両方の設定が有効になっていることを確認する必要があります。 これらのポリシー設定は、ログオンしているユーザーに関係なく適用されます。

ループバック ポリシー設定を構成するには、グループ ポリシー管理コンソールを使用して、GPO を編集して、[Computer Configuration\Policies\Administrative Templates\System\Group Policy][ユーザー グループ ポリシー ループバック処理モード] ポリシー設定を有効にします。 2 つのオプションがあります。

  • マージ モード: このモードでは、ログオン プロセス中にユーザーの GPO の一覧が収集されます。 次に、コンピューターの GPO の一覧が収集されます。 次に、コンピューターの GPO の一覧がユーザーの GPO の末尾に追加されます。 その結果、コンピューターの GPO はユーザーの GPO よりも優先順位が高くなります。 ポリシー設定が競合する場合、ユーザーの通常のポリシー設定ではなくコンピューターの GPO のユーザー ポリシー設定が適用されます。

  • 置換モード: このモードでは、ユーザーの GPO の一覧は収集されません。 代わりに、コンピューター オブジェクトに基づく GPO の一覧のみが使用されます。 この一覧の [ユーザー構成] 設定がユーザーに適用されます。

グループ ポリシーを更新する

グループ ポリシーを更新するための主要なメカニズムは、起動時とログオン時です。 グループ ポリシーは、他の間隔でも定期的に更新されます。 ポリシーの更新間隔は、GPO への変更が適用される速度に影響します。 既定では、クライアントとサーバーは、最大 30 分のランダム化されたオフセットを使用して、90 分ごとに GPO への変更をチェックします。 GPO の変更は、最初に適切なドメイン コントローラーにレプリケートする必要があるため、グループ ポリシー設定の変更をユーザーのデスクトップですぐに使用できない場合があります。

ドメイン コントローラーは、5 分ごとにコンピューター ポリシーの変更をチェックします。 このポーリング頻度は、これらのポリシー設定、コンピューターのグループ ポリシー更新間隔、ドメイン コントローラーのグループ ポリシー更新間隔またはユーザーのグループ ポリシー更新間隔を使用して変更されます。 更新間の頻度を短くすることは推奨されません。これは、ネットワーク トラフィックが増加し、ドメイン コントローラーの負荷が増加する場合があるからです。

GPO のコンポーネントは、Active Directory とドメイン コントローラーの SYSVOL フォルダーの両方に格納されます。 他のドメイン コントローラーへの GPO のレプリケーションは、2 つの独立したメカニズムによって発生します。

  • Active Directory の組み込みレプリケーション システムは、Active Directory のレプリケーションを制御します。 既定では、レプリケーションは通常、同じサイト内のドメイン コントローラー間で 1 分未満要します。 ネットワークの速度が LAN よりも遅い場合、このプロセスは遅くなる場合があります。

  • 分散ファイル システム レプリケーション (DFSR) は、SYSVOL フォルダーのレプリケーションを制御します。 サイト内では、レプリケーションは 15 分ごとに行われます。 ドメイン コントローラーが異なるサイトにある場合、レプリケーション プロセスはサイト トポロジとスケジュールに基づいて設定された間隔で実行され、最も低い間隔は 15 分です。

グループ ポリシーの更新をトリガーする

必要に応じて、次の方法でグループ ポリシーの更新を手動でトリガーできます。

  • ローカル コンピューターで、コマンド ラインから gpupdate.exe を入力します。 gpupdate.exe を実行すると、コマンドが実行されているコンピューターのポリシー更新がトリガーされます。

  • Invoke-GPUpdate PowerShell コマンドレットを使用します。 この cmdlet を使用すると、ローカル コンピューターの更新をトリガーするか、リモート コンピューターの更新をトリガーします。

  • OU を右クリックし、[グループ ポリシー更新] を選択して OU レベルでグループ ポリシー更新をトリガーするには、グループ ポリシー管理コンソールを使用します。

最適化された GPO の処理

GPO の処理に必要な時間を短縮するには、次の使用を検討してください。

  • GPO にコンピューター構成またはユーザー構成設定のみが含まれている場合は、適用しないポリシー設定の部分を無効にします。 この最適化により、対象のコンピューターは無効にする GPO の部分をスキャンしないため、処理時間が短縮されます。

  • 小規模な GPO を組み合わせて、統合 GPO を形成します。 この最適化により、ユーザーまたはコンピューターに適用される GPO の数が減ります。 ユーザーまたはコンピューターに適用する GPO の数を減らすと、起動またはログオン時間が短縮され、ポリシー構造のトラブルシューティングが容易になります。