Active Directoryのグループポリシー(GPO)は、3つ(サイト、ドメイン、OU)の適用場所(リンク)があります。
複数のGPOがリンク先で競合する場合などを想定し、これらには適用の順番があります。
適用順は下記のとおりです。
-
ローカルグループポリシー (ADのGPOではなく、コンピューター個別で設定。)
-
サイトへのリンクしたGPO
-
ドメインへリンクしたGPO
-
OUへリンクしたGPO
設定が競合した場合、順番が後で適用されたものに上書きされます。
検証環境は、ドメイン名:hirotanoblog.comとし、AD-1、AD-2の2台のドメインコントローラで構成しています。また、Windows10のPC(WIN10-1)がドメイン参加しています。
ローカルグループポリシー
個々のコンピュータ(OS)に対して、コンピューターやユーザの構成のポリシーを適用する設定です。
詳細は、下記記事を参考にしてください。
>> 参考記事 : ローカルグループポリシーの概要
【Windows】ローカルグループポリシーの概要
ローカルグループポリシーとは、個々のコンピュータ(OS)に対して、コンピューターやユーザの構成のポリシーを適用する設定です。 例えば、100台のWindowsOSマシンで、ローカルのグループポリシーを設定する場合、100台それぞれのマシンに...
サイトへリンクしたGPO
サイトとは、Active Directoryの物理的な場所を表します。
例えば、東京本社と大阪支社 など、物理的に離れており、WAN回線などで接続されている場合、それぞれ、東京本社、大阪支社のサイトを作成します。サイトは、サブネットにより構成されます。
サーバーマネージャーを起動し、 「ツール」>「Active Directory サイトとサービス」をクリックします。
デフォルトのサイト構成が表示されます。
Default-First-Site-Name というデフォルトのサイトがあり、Serversフォルダの中に、ドメインコントローラが2台(AD-1/AD-2)が存在しています。
この例は、単一サイトのドメイン環境となります。
テスト的に、東京本社と大阪支社のサイトを作成してみます。
「Active Directoryサイトとサービス」 >>「Sites」 を 「新しいサイト」をクリックします。
名前は任意(今回は、東京本社)と入力し、リンク名はDEFAULTIPSITELINKを選択後、OKをクリックします。
サブネットを設定するよう案内されます。OKをクリックします。
東京本社のサイトが作成されました。
同様の手順で、大阪支社も作成します。
サブネットを作成します。「Active Directoryサイトとサービス」 >>「Sites」>>「Subnets」を右クリックし、「新しいサブネット」を選択します。
仮にテストとして、東京本社は 192.168.1.0/24 大阪支社は 192.168.2.0/24 とします。
プレフィックスに192.168.1.0/24 と入力し、サイト名は東京本社を選択のうえ、OKをクリックします。
サブネットが追加されます。
同様に大阪支社も設定します。
サーバーマネージャーを起動し、 「ツール」>「グループポリシーの管理」をクリックします。
グループポリシー管理コンソール(GPMC)が起動します。
まず、「サイト」を右クリックして、「サイトの表示」を選択します。
すべてのサイトにチェックをいれて、OKをクリックします。
下記のとおり、サイトが表示されます。
予め、GPOを作成したうえで、サイトの名前を右クリックし、「既存のGPOのリンク」を選択することで、サイト単位で、GPOを適用することができます。
サイトへリンクするGPOとして、よく使用される例は、プリンタ設定です。
東京本社と大阪支社では、デフォルトで設定されるプリンタを変更したいニーズがあります。
ドメインへリンクしたGPO
ドメインへリンクされたGPOは、ドメイン名(下記では、hirotanoblog.local)の下に列挙されます。
ドメインへリンクされたGPOは、すべてのドメインユーザ、コンピューターアカウントへ適用されます。
Default Domain Policyは、デフォルトでリンクされているGPOです。主にパスワード等の認証関連を設定します。Default Domain Policyについては、下記を参考にしてください。
【Active Directory】デフォルトドメインポリシーについて
Active Directoryのグループポリシー(GPO)は、3つ(サイト、ドメイン、OU)の適用場所(リンク)があります。 グループポリシーの概要は下記の記事を参考にしてください。 >> 参考記事 : グループポリシーの構成・適用・...
複数のGPOが同一ドメインなど、同一レベルでリンクされている場合は、右のペインの「グループポリシーの継承」タブにある優先順位の値が低いGPOが適用されていきます。
例えば、GPO1とGPO2を作成しました。テストとして、Windows Updateの自動構成について、下記のとおり設定しました。
-
優先順位1 :Default Domain Policy 未構成
-
優先順位2 :GPO1 無効
-
優先順位3 :GPO2 有効
Windows Updateの自動構成は、コンピューターの構成にて、「管理テンプレート」 >> 「Windowsコンポーネント」 >> 「WindowsUpdate」へ移動し、「自動更新を構成する」にて設定しています。
この場合、優先順位の値が高い、優先順位3のGPO2から適用されます。GPO2とGPO3は設定が競合するので、優先順位の値が低いGPO2の設定が優先され、上書きされます。
優先順位の値が最も低いDefault Domain Policyは、未構成のため、何もアクションは起きず、GPO1の自動更新は無効が適用されます。
優先順位を変更する場合は、右ペインの「リンクされたグループポリシーオブジェクト」へ移動します。
リンクの順序を矢印ボタンにより変更することができます。例えば、GPO2のリンク順序を一つ上げてみます。
「グループポリシーの継承」タブを確認すると、優先順位が変更されています。
gpupdateにより、GPOを更新し、Windows Updateの自動更新を確認すると、自動更新が有効に変更されたことが確認できます。
OUへリンクしたGPO
実務で一番使用するのは、OUへリンクしたGPOです
例えば、営業部、技術部で、コンピューターの設定が異なるのであれば、これらをOUとして追加し、それぞれにGPOをリンクします。
OUの中に、さらにOU(下位のOU)を作成し、その下位OUにユーザーやコンピューターを所属させた場合は、これらのユーザー、コンピューターには、下位OUにリンクされたGPOが優先されます。
今回はテスト用に”営業部”というOUを作成し、ドメイン参加しているWindows10のコンピューターとユーザを所属させます。
グループポリシー管理コンソール(GPMC)で、営業部OUにリンクされているGPOを確認します。
ドメイン配下の営業部OUを選択して、「グループポリシーの継承」タブを選択します。
ドメインにリンクされたGPOが継承されています。ドメインにリンクされたGPOは、ドメイン内のOUにも適用されます。
それでは、営業部用のGPOをテスト的に作成し、営業部OUにリンクしてみます。
グループポリシーオブジェクトを右クリックして、「新規」をクリックします。
名前は任意(今回は営業部GPO)とし、OKをクリックします。
営業部GPOが作成されました。
営業部GPOを営業部OUへリンクします。
営業部のOUを右クリックし、「既存のGPOのリンク」をクリックします。
営業部GPOを選択し、OKをクリックします。
すると、優先順位1番として、ドメインへリンクされたGPOより上に営業部GPOが登録されました。
ドメインへリンクされたGPOとOUへリンクされたGPOで競合があった場合は、OUへリンクされたGPOの設定に上書きされることがわかります。
以上がグループポリシーの適用規則ですが、例外として、継承のブロックや強制により、適用順を変更することができます。下記記事を参考にしてください。
【Active Directory】グループポリシーの継承ブロックと強制
グループポリシーの適用は、サイト→ドメイン→OUの順番で適用され、設定に競合があった場合は、最後に適用されたGPOの設定が採用されます。 詳細は、下記の記事を参考にしてください。 >> 参考記事 : グループポリシーの適用規則(サイト・ドメ...
コメント