ローカルグループポリシーは、個々のコンピュータ(OS)に対して、コンピューターやユーザの構成のポリシーを適用する設定でした。
ただし、管理者による集中管理ができず、個々のコンピューターで個別に設定を適用する必要がありました。
ローカルグループポリシーに関しては、下記記事を参考にしてください。
>> 参考記事 : ローカルグループポリシーの概要
【Windows】ローカルグループポリシーの概要
ローカルグループポリシーとは、個々のコンピュータ(OS)に対して、コンピューターやユーザの構成のポリシーを適用する設定です。例えば、100台のWindowsOSマシンで、ローカルのグループポリシーを設定する場合、100台それぞれのマシンに対...
Active Directoryのグループポリシーでは、個々のコンピューターの設定を管理者が一括で構成・管理することができます。
この記事では、Active Directoryのグループポリシーの概要を確認していきます。
動作環境は、Windows Server 2019のドメインコントローラ(ドメイン名:hirotanoblog.local)で構築しています。
グループポリシーの概要
グループポリシーは、ドメインコントローラ上で定義します。定義されたポリシーはグループポリシーオブジェクト(GPO)と呼ばれます。
グループポリシーを設定するには、グループポリシー管理コンソール(GPMC)を使用します。
GPMCの起動
サーバーマネージャーを起動し、 「ツール」>>「グループポリシーの管理」をクリックします。
グループポリシー管理コンソール(GPMC)が起動します。
コンピューターの構成 / ユーザーの構成
左のペインをみると、フォレストの配下に「ドメイン」と「サイト」があります。
まず、「ドメイン」を右クリックして、「ドメインの表示」を選択します。
ドメイン名のチェックボックスにチェックを入れて、OKをクリックします。
すると、ドメインの設定内容が表示されます。
グループポリシーオブジェクト(GPO)として、デフォルトで、「Default Domain Controllers Policy」と「Default Domain Policy」が定義されています。
Default Domain Controllers Policy は、ドメインコントローラ、Default Domain Policyは、ドメイン全体向けのGPOで、すでにそれぞれへ適用されています。
Default Domain Policy/Default Domain Controllers Policyについては、下記の記事を参考にしてください。
【Active Directory】デフォルトドメインポリシーについて
Active Directoryのグループポリシー(GPO)は、3つ(サイト、ドメイン、OU)の適用場所(リンク)があります。グループポリシーの概要は下記の記事を参考にしてください。 >> 参考記事 : グループポリシーの構成・適用・更新...
それでは、Default Domain Policy を右クリックして、編集を選択します。
Default Domain Policy に関するグループポリシー管理エディターが起動します。
大きくは、「コンピューターの構成」 と「 ユーザーの構成」に分かれています。
このあたりの構成は、ローカルグループポリシーと同様になります。
グループポリシーの適用
個々のコンピューターは、PCの起動時や、ユーザログオン(ドメイン)参加する際に、GPOが適用されます。
ドメイン参加については、下記記事を参考にしてください。
>> 参考記事 : Active Directory ユーザ追加と端末のドメイン参加
【Windows Server 2019】Active Directory ユーザ追加と端末のドメイン参加
ここでは、ActiveDirectory上にユーザを追加して、そのユーザでマシンをドメインに参加する手順を確認します。ActiveDirectoryのインストール手順は以下の記事を参考にしてください。OUの設定まず、OU(organizat...
まず、PCを起動した際に、PCは、ドメインコントローラーからGPOを取得します。GPOのうち、「コンピューターの構成」にもとづいて、OSが設定されます。
次に、ユーザーがログオンした際に、ドメインコントローラからGPOを取得します。GPOのうち、「ユーザーの構成」にもとづいて、OSが設定されます。
グループポリシーの更新間隔
GPOはPC起動時、ユーザーログオン時に適用されますが、その後も定期的に自動更新されます。
自動更新間隔も、グループポリシーで定義されています。
Default Domain Policy にて 「コンピューターの構成」>>「ポリシー」>>「管理テンプレート」>>「システム」>>「グループポリシー」より、下記項目で、確認できます。
- 「コンピューターのグループポリシーの更新間隔を設定する」
- 「ドメインコントローラーのグループポリシーの更新間隔を設定する」
ドメイン参加しているコンピューターの更新間隔は、デフォルトで、90分+30分以下のランダム時間 ドメインコントローラはデフォルトで5分であることが確認できます。
また、これらの値は変更することもできますが、あまり、実務で変更されているお客様は見たことがありません。
グループポリシーの強制適用
ポリシーを変更した際に、自動更新を待たず、適用したい場合があります。
クライアント側での実行(gpupdate)
ポリシー更新したいコンピューター上で、コマンドプロンプトより、gpupdate を実行します。
gpupdateだけですと、前回適用分の差分のみ更新となります。GPO全体を更新したい場合は、オプションとして /force をつけ、実行します。
ADからの実行(グループポリシー管理)
OUに対して適用されているGPOをGPMCから適用させることができます。
例えば、Domain ControllerのOUに対して適用しているGPOを更新したい場合、該当のOUを右クリックして、「グループポリシーの更新」をクリックします。
OUに含まれるコンピューター台数(今回は、2台)が表示されます。はい をクリックします。
下記のようにGPOが適用されます。即時反映ではなく、最大で10分間のラグが発生します。
コメント