【Active Directory】グループポリシーの適用規則(サイト・ドメイン・OU)

Windows Server
Active Directoryのグループポリシー(GPO)は、3つ(サイトドメインOU)の適用場所(リンク)があります。
複数のGPOがリンク先で競合する場合などを想定し、これらには適用の順番があります。

適用順は下記のとおりです。
  1. ローカルグループポリシー (ADのGPOではなく、コンピューター個別で設定。)
  2. サイトへのリンクしたGPO
  3. ドメインへリンクしたGPO
  4. OUへリンクしたGPO
設定が競合した場合、順番が後で適用されたものに上書きされます。
検証環境は、ドメイン名:hirotanoblog.comとし、AD-1、AD-2の2台のドメインコントローラで構成しています。また、Windows10のPC(WIN10-1)がドメイン参加しています。

スポンサーリンク

ローカルグループポリシー

個々のコンピュータ(OS)に対して、コンピューターやユーザの構成のポリシーを適用する設定です。
詳細は、下記記事を参考にしてください。
  >> 参考記事 :  ローカルグループポリシーの概要
【Windows】ローカルグループポリシーの概要
ローカルグループポリシーとは、個々のコンピュータ(OS)に対して、コンピューターやユーザの構成のポリシーを適用する設定です。例えば、100台のWindowsOSマシンで、ローカルのグループポリシーを設定する場合、100台それぞれのマシンに...

スポンサーリンク

サイトへリンクしたGPO

サイトとは、Active Directoryの物理的な場所を表します。
例えば、東京本社と大阪支社 など、物理的に離れており、WAN回線などで接続されている場合、それぞれ、東京本社、大阪支社のサイトを作成します。サイトは、サブネットにより構成されます。

サーバーマネージャーを起動し、 「ツール」>「Active Directory サイトとサービス」をクリックします。

デフォルトのサイト構成が表示されます。
Default-First-Site-Name というデフォルトのサイトがあり、Serversフォルダの中に、ドメインコントローラが2台(AD-1/AD-2)が存在しています。
この例は、単一サイトのドメイン環境となります。

テスト的に、東京本社と大阪支社のサイトを作成してみます。
Active Directoryサイトとサービス」 >>「Sites」 を 「新しいサイト」をクリックします。

名前は任意(今回は、東京本社)と入力し、リンク名はDEFAULTIPSITELINKを選択後、OKをクリックします。

サブネットを設定するよう案内されます。OKをクリックします。

東京本社サイトが作成されました。

同様の手順で、大阪支社も作成します。

サブネットを作成します。「Active Directoryサイトとサービス」 >>「Sites」>>「Subnets」を右クリックし、「新しいサブネット」を選択します。

仮にテストとして、東京本社は 192.168.1.0/24 大阪支社は 192.168.2.0/24 とします。  
プレフィックスに192.168.1.0/24 と入力し、サイト名は東京本社を選択のうえ、OKをクリックします。

サブネットが追加されます。

同様に大阪支社も設定します。

サーバーマネージャーを起動し、 「ツール」>「グループポリシーの管理」をクリックします。

グループポリシー管理コンソールGPMC)が起動します。
まず、「サイト」を右クリックして、「サイトの表示」を選択します。

すべてのサイトにチェックをいれて、OKをクリックします。

下記のとおり、サイトが表示されます。

予め、GPOを作成したうえで、サイトの名前を右クリックし、「既存のGPOのリンク」を選択することで、サイト単位で、GPOを適用することができます。

サイトへリンクするGPOとして、よく使用される例は、プリンタ設定です。
東京本社と大阪支社では、デフォルトで設定されるプリンタを変更したいニーズがあります。

スポンサーリンク

ドメインへリンクしたGPO

ドメインへリンクされたGPOは、ドメイン名(下記では、hirotanoblog.local)の下に列挙されます。
ドメインへリンクされたGPOは、すべてのドメインユーザ、コンピューターアカウントへ適用されます。
Default Domain Policyは、デフォルトでリンクされているGPOです。主にパスワード等の認証関連を設定します。Default Domain Policyについては、下記を参考にしてください。
【Active Directory】デフォルトドメインポリシーについて
Active Directoryのグループポリシー(GPO)は、3つ(サイト、ドメイン、OU)の適用場所(リンク)があります。グループポリシーの概要は下記の記事を参考にしてください。  >> 参考記事 : グループポリシーの...
複数のGPOが同一ドメインなど、同一レベルでリンクされている場合は、右のペインの「グループポリシーの継承」タブにある優先順位の値が低いGPOが適用されていきます。
例えば、GPO1GPO2を作成しました。テストとして、Windows Updateの自動構成について、下記のとおり設定しました。
  • 優先順位1 :Default Domain Policy 未構成
  • 優先順位2 :GPO1     無効
  • 優先順位3 :GPO2     有効
Windows Updateの自動構成は、コンピューターの構成にて、「管理テンプレート」 >> 「Windowsコンポーネント」 >> 「WindowsUpdate」へ移動し、「自動更新を構成する」にて設定しています。

この場合、優先順位の値が高い、優先順位3のGPO2から適用されます。GPO2GPO3は設定が競合するので、優先順位の値が低いGPO2の設定が優先され、上書きされます。
優先順位の値が最も低いDefault Domain Policyは、未構成のため、何もアクションは起きず、GPO1の自動更新は無効が適用されます

優先順位を変更する場合は、右ペインの「リンクされたグループポリシーオブジェクト」へ移動します。

リンクの順序を矢印ボタンにより変更することができます。例えば、GPO2のリンク順序を一つ上げてみます

グループポリシーの継承」タブを確認すると、優先順位が変更されています

gpupdateにより、GPOを更新し、Windows Updateの自動更新を確認すると、自動更新が有効に変更されたことが確認できます

OUへリンクしたGPO

実務で一番使用するのは、OUへリンクしたGPOです
例えば、営業部、技術部で、コンピューターの設定が異なるのであれば、これらをOUとして追加し、それぞれにGPOをリンクします。
OUの中に、さらにOU(下位のOU)を作成し、その下位OUにユーザーやコンピューターを所属させた場合は、これらのユーザー、コンピューターには、下位OUにリンクされたGPOが優先されます。
今回はテスト用に”営業部”というOUを作成し、ドメイン参加しているWindows10のコンピューターとユーザを所属させます。

グループポリシー管理コンソール(GPMC)で、営業部OUにリンクされているGPOを確認します。
ドメイン配下の営業部OUを選択して、「グループポリシーの継承」タブを選択します。

ドメインにリンクされたGPOが継承されています。ドメインにリンクされたGPOは、ドメイン内のOUにも適用されます。
それでは、営業部用のGPOをテスト的に作成し、営業部OUにリンクしてみます。
グループポリシーオブジェクトを右クリックして、「新規」をクリックします。

名前は任意(今回は営業部GPO)とし、OKをクリックします。

営業部GPOが作成されました。

営業部GPOを営業部OUへリンクします。
営業部のOUを右クリックし、「既存のGPOのリンク」をクリックします。

営業部GPOを選択し、OKをクリックします。

すると、優先順位1番として、ドメインへリンクされたGPOより上に営業部GPOが登録されました。
ドメインへリンクされたGPOとOUへリンクされたGPOで競合があった場合は、OUへリンクされたGPOの設定に上書きされることがわかります。

以上がグループポリシーの適用規則ですが、例外として、継承のブロックや強制により、適用順を変更することができます。下記記事を参考にしてください。

  >> 参考記事 :  グループポリシーの継承ブロックと強制

【Active Directory】グループポリシーの継承ブロックと強制
グループポリシーの適用は、サイト→ドメイン→OUの順番で適用され、設定に競合があった場合は、最後に適用されたGPOの設定が採用されます。詳細は、下記の記事を参考にしてください。 >> 参考記事 : グループポリシーの適用...
スポンサーリンク
Windows Server
hirota.noの技術ブログ〜 It's all over the network.

コメント

タイトルとURLをコピーしました