【Active Directory】グループポリシーの適用順ルール（サイト・ドメイン・OU）

Active Directoryのグループポリシー（GPO）は、３つ（サイト、ドメイン、OU）の適用場所（リンク）があります。

複数のGPOがリンク先で競合する場合などを想定し、これらには適用の順番があります。

適用順は下記のとおりです。

ローカルグループポリシー　（ADのGPOではなく、コンピューター個別で設定。）
サイトへのリンクしたGPO
ドメインへリンクしたGPO
OUへリンクしたGPO

設定が競合した場合、順番が後で適用されたものに上書きされます。

検証環境は、ドメイン名：hirotanoblog.comとし、AD-1、AD-2の２台のドメインコントローラで構成しています。また、Windows10のPC（WIN10-1）がドメイン参加しています。

ローカルグループポリシー
サイトへリンクしたGPO
ドメインへリンクしたGPO
OUへリンクしたGPO

ローカルグループポリシー

個々のコンピュータ（OS）に対して、コンピューターやユーザの構成のポリシーを適用する設定です。

詳細は、下記記事を参考にしてください。

>> 参考記事 : ローカルグループポリシーの概要

【Windows】ローカルグループポリシーの概要

ローカルグループポリシーとは、個々のコンピュータ（OS）に対して、コンピューターやユーザの構成のポリシーを適用する設定です。例えば、100台のWindowsOSマシンで、ローカルのグループポリシーを設定する場合、100台それぞれのマシンに...

サイトへリンクしたGPO

サイトとは、Active Directoryの物理的な場所を表します。

例えば、東京本社と大阪支社　など、物理的に離れており、WAN回線などで接続されている場合、それぞれ、東京本社、大阪支社のサイトを作成します。サイトは、サブネットにより構成されます。

サーバーマネージャーを起動し、「ツール」>「Active Directory サイトとサービス」をクリックします。

デフォルトのサイト構成が表示されます。

Default-First-Site-Name　というデフォルトのサイトがあり、Serversフォルダの中に、ドメインコントローラが2台（AD-1/AD-2）が存在しています。

この例は、単一サイトのドメイン環境となります。

テスト的に、東京本社と大阪支社のサイトを作成してみます。

「Active Directoryサイトとサービス」 >>「Sites」　を　「新しいサイト」をクリックします。

名前は任意（今回は、東京本社）と入力し、リンク名はDEFAULTIPSITELINKを選択後、OKをクリックします。

サブネットを設定するよう案内されます。OKをクリックします。

東京本社のサイトが作成されました。

同様の手順で、大阪支社も作成します。

サブネットを作成します。「Active Directoryサイトとサービス」 >>「Sites」>>「Subnets」を右クリックし、「新しいサブネット」を選択します。

仮にテストとして、東京本社は　192.168.1.0/24　大阪支社は　192.168.2.0/24　とします。　

プレフィックスに192.168.1.0/24　と入力し、サイト名は東京本社を選択のうえ、OKをクリックします。

サブネットが追加されます。

同様に大阪支社も設定します。

サーバーマネージャーを起動し、「ツール」>「グループポリシーの管理」をクリックします。

グループポリシー管理コンソール（GPMC）が起動します。

まず、「サイト」を右クリックして、「サイトの表示」を選択します。

すべてのサイトにチェックをいれて、OKをクリックします。

下記のとおり、サイトが表示されます。

予め、GPOを作成したうえで、サイトの名前を右クリックし、「既存のGPOのリンク」を選択することで、サイト単位で、GPOを適用することができます。

サイトへリンクするGPOとして、よく使用される例は、プリンタ設定です。

東京本社と大阪支社では、デフォルトで設定されるプリンタを変更したいニーズがあります。

ドメインへリンクしたGPO

ドメインへリンクされたGPOは、ドメイン名（下記では、hirotanoblog.local）の下に列挙されます。

ドメインへリンクされたGPOは、すべてのドメインユーザ、コンピューターアカウントへ適用されます。

Default Domain Policyは、デフォルトでリンクされているGPOです。主にパスワード等の認証関連を設定します。Default Domain Policyについては、下記を参考にしてください。

>> 参考記事 : デフォルトドメインポリシーについて

【Active Directory】デフォルトドメインポリシーについて

Active Directoryのグループポリシー（GPO）は、３つ（サイト、ドメイン、OU）の適用場所（リンク）があります。グループポリシーの概要は下記の記事を参考にしてください。 >> 参考記事 : グループポリシーの構成・適用・...

複数のGPOが同一ドメインなど、同一レベルでリンクされている場合は、右のペインの「グループポリシーの継承」タブにある優先順位の値が低いGPOが適用されていきます。

例えば、GPO1とGPO2を作成しました。テストとして、Windows Updateの自動構成について、下記のとおり設定しました。

優先順位1　：Default Domain Policy　未構成
優先順位2　：GPO1 無効
優先順位3　：GPO2 有効

Windows Updateの自動構成は、コンピューターの構成にて、「管理テンプレート」 >> 「Windowsコンポーネント」 >> ｢WindowsUpdate｣へ移動し、「自動更新を構成する」にて設定しています。

この場合、優先順位の値が高い、優先順位3のGPO2から適用されます。GPO2とGPO3は設定が競合するので、優先順位の値が低いGPO2の設定が優先され、上書きされます。

優先順位の値が最も低いDefault Domain Policyは、未構成のため、何もアクションは起きず、GPO1の自動更新は無効が適用されます。

優先順位を変更する場合は、右ペインの「リンクされたグループポリシーオブジェクト」へ移動します。

リンクの順序を矢印ボタンにより変更することができます。例えば、GPO2のリンク順序を一つ上げてみます。

「グループポリシーの継承」タブを確認すると、優先順位が変更されています。

gpupdateにより、GPOを更新し、Windows Updateの自動更新を確認すると、自動更新が有効に変更されたことが確認できます。

OUへリンクしたGPO

実務で一番使用するのは、OUへリンクしたGPOです

例えば、営業部、技術部で、コンピューターの設定が異なるのであれば、これらをOUとして追加し、それぞれにGPOをリンクします。

OUの中に、さらにOU（下位のOU)を作成し、その下位OUにユーザーやコンピューターを所属させた場合は、これらのユーザー、コンピューターには、下位OUにリンクされたGPOが優先されます。

今回はテスト用に”営業部”というOUを作成し、ドメイン参加しているWindows10のコンピューターとユーザを所属させます。

グループポリシー管理コンソール（GPMC）で、営業部OUにリンクされているGPOを確認します。

ドメイン配下の営業部OUを選択して、「グループポリシーの継承」タブを選択します。

ドメインにリンクされたGPOが継承されています。ドメインにリンクされたGPOは、ドメイン内のOUにも適用されます。

それでは、営業部用のGPOをテスト的に作成し、営業部OUにリンクしてみます。

グループポリシーオブジェクトを右クリックして、「新規」をクリックします。

名前は任意（今回は営業部GPO)とし、OKをクリックします。

営業部GPOが作成されました。

営業部GPOを営業部OUへリンクします。

営業部のOUを右クリックし、「既存のGPOのリンク」をクリックします。

営業部GPOを選択し、OKをクリックします。

すると、優先順位1番として、ドメインへリンクされたGPOより上に営業部GPOが登録されました。

ドメインへリンクされたGPOとOUへリンクされたGPOで競合があった場合は、OUへリンクされたGPOの設定に上書きされることがわかります。

以上がグループポリシーの適用規則ですが、例外として、継承のブロックや強制により、適用順を変更することができます。下記記事を参考にしてください。

>> 参考記事 : グループポリシーの継承ブロックと強制

【Active Directory】グループポリシーの継承ブロックと強制

グループポリシーの適用は、サイト→ドメイン→OUの順番で適用され、設定に競合があった場合は、最後に適用されたGPOの設定が採用されます。詳細は、下記の記事を参考にしてください。 >> 参考記事 : グループポリシーの適用規則（サイト・ドメ...