グループポリシーの適用は、サイト→ドメイン→OUの順番で適用され、設定に競合があった場合は、最後に適用されたGPOの設定が採用されます。
詳細は、下記の記事を参考にしてください。
>> 参考記事 : グループポリシーの適用規則(サイト・ドメイン・OU)
【Active Directory】グループポリシーの適用順ルール(サイト・ドメイン・OU)
Active Directoryのグループポリシー(GPO)は、3つ(サイト、ドメイン、OU)の適用場所(リンク)があります。 複数のGPOがリンク先で競合する場合などを想定し、これらには適用の順番があります。 適用順は下記のとおりです。 ...
hirotanoblog.com
2022.09.20
ただし、OUではなく、ドメインにリンクされたGPOを適用したいなど、適用の順番を変更することができます。
グループポリシーの概要については、下記の記事を参考にしてください。
【Active Directory】グループポリシーの構成・適用・更新
ローカルグループポリシーは、個々のコンピュータ(OS)に対して、コンピューターやユーザの構成のポリシーを適用する設定でした。 ただし、管理者による集中管理ができず、個々のコンピューターで個別に設定を適用する必要がありました。 ローカルグルー...
hirotanoblog.com
2022.09.19
ドメインとOUの構成は下記とします。
継承のブロック
継承のブロックにより、上位GPOの継承を無視します。
グループポリシー管理コンソール(GPMC)を起動すると、下記のとおり、ドメイン(hirotanoblog.local)の配下に OU1 と OU2 が配置されています。
グループポリシーの継承
デフォルトでは、ドメインに対して、Default Domain Policyがリンクされています。
Default Domain Policy はドメイン配下のユーザー、コンピューターへ適用されます。つまり、OU1やOU2にもDefault Domain Policy が適用されます。
これを継承といいます。OU1にて、「グループポリシーの継承」を確認します。
Default Domain Policyに関しては、下記の記事を参考にしてください。
【Active Directory】デフォルトドメインポリシーについて
Active Directoryのグループポリシー(GPO)は、3つ(サイト、ドメイン、OU)の適用場所(リンク)があります。 グループポリシーの概要は下記の記事を参考にしてください。 >> 参考記事 : グループポリシーの構成・適用・...
hirotanoblog.com
2022.09.21
それでは、新規でグループポリシーオブジェクト(GPO1)を作成し、ドメインへ適用します。
グループポリシーオブジェクトを右クリックして、「新規」をクリックします。
名前をGPO1として、OKをクリックします。
GPO1が作成されました。
ドメインにGPO1をリンクします。ドメイン名(hirotanoblog.local)を右クリックし、「既存のGPOのリンク」をクリックします。
GPO1 を選択し、OKをクリックします。
ドメインに対して、GPO1がリンクされました。
ドメインへリンクされたGPO1は、OU1やOU2にも継承されています。
OU1とOU2に対して、新規にGPO2を作成し、リンクさせます。
GPO2は、OUに対してのリンク(場所がOU1やOU2)であり、設定が競合している場合は、ドメインに対してのリンク(場所がhirotanoblog.local)よりも優先されます。
継承のブロック
OU1に対して、GPO1を一切適用させたくない場合、上位からの継承をブロックします。
OU1を右クリックし、「継承のブロック」をクリックします。
OU1でアイコンで青い!マークが表示され、「グループポリシーの継承」を確認すると、ドメインから継承されていたGPOが消えています。
OU2は、継承されています。
強制
OUではなく、ドメインへリンクされたGPOを優先して、適用したい場合、下位GPOではなく上位GPOを強制することができます。
通常の適用順では、ドメインへリンクされたGPO1より、OUへリンクされたGPO2が優先されています。
GPO1を強制的に適用します。
ドメインにリンクされたいるGPO1を右クリックし、「強制」をクリックします。
すると、GPO1のアイコンに鍵マークがつき、OU1の「グループポリシーの継承」を確認すると、GPO1が優先されていることが確認できます。
OU2も同様です。
OU1にて、継承をブロックしてみます。
継承をブロックしても、強制したGPOは適用されていることが確認できます。
コメント