正解:3
 グループ・ポリシーは,コンピュータの構成とユーザーの構成に対して適用されるものがあり,それぞれ適用対象となるのは,コンピュータとユーザーである。グループは対象とならない。

 そのため,グループ・ポリシーを適用させたくない,または適用させたいグループがある場合は,そのグループのメンバーとなっているユーザーを別のOUに移動するなどのOUデザインが必要である(図1)。

図1●グループ・ポリシーはOUに対して適用される
図1●グループ・ポリシーはOUに対して適用される

 OUの設計での対応ができない場合は,ポリシーのセキュリティ・フィルタの設定を変更して,グループ・ポリシーのアクセス許可を変更することで対応できる。従って正解は3である。

 既定では,グループ・ポリシーのセキュリティ・フィルタ設定は「Authenticated Users」にグループ・ポリシーが適用されるようになっている。Authenticated Usersは認証された全ユーザーがメンバーとなるので,ドメインで認証できるユーザーはすべてグループ・ポリシーの適用対象となる(図2)。

図2●既定では「Authenticated Users」に対してグループ・ポリシーが適用されるようになっている
図2●既定では「Authenticated Users」に対してグループ・ポリシーが適用されるようになっている
[画像のクリックで拡大表示]

 特定のグループにのみグループ・ポリシーを適用させたいのであれば,Authenticated Usersグループを削除して該当するグループを追加する。逆に,特定のグループに対してポリシーを適用させたくないのであれば,そのポリシーの設定を変更して,該当するグループをセキュリティ・フィルタに追加し,[委任]タブの[詳細設定]から[グループ・ポリシーの適用]を「拒否」に変更する(図3)。

図3●セキュリティ・フィルタを使うことで,グループ・ポリシーの適用/非適用をグループ単位で制御できる
図3●セキュリティ・フィルタを使うことで,グループ・ポリシーの適用/非適用をグループ単位で制御できる
[画像のクリックで拡大表示]

 「G <部門名> DesktopSupport」グループを部門のOUからドメイン直下に移動しても,もともとグループはグループ・ポリシーの適用対象ではないので意味がない。したがって1は誤りである。

 グループ・ポリシーは,上位のドメイン階層でリンクされていると,下位の階層にも継承されて適用される。上位の継承をブロックする設定は,それを防止する設定であり,OUに設定する。この設定をしても,デスクトップ・サポート・チームのメンバーに適用されるグループ・ポリシーを制御することはできない。したがって2は誤りである。

 制御の委任ウィザードでは,OU単位で特定のグループやユーザーに特定の管理タスクを委任できる。デスクトップ・サポート・チームに対してグループ・ポリシーのリンク管理の委任をしても,グループ・ポリシーの適用には無関係である。したがって4は誤りである。

 グループポリシーの適用ルールを変更する方法としては,既述のセキュリティ・フィルタの設定,継承ブロックのほか,ポリシーの強制とWMIフィルタがある。

 Active Directory環境下のグループ・ポリシーは複数定義できるので,設定によっては競合してしまうことがある。その場合,後から処理されたもので設定は上書きされて適用される。ポリシーの強制は,このルールを変更する。WMIフィルタでは,OSのバージョンやボリュームの空きなどの条件を動的に判断してポリシーを適用させる。

 しかし,提要ルールを変更する設定を多用すると管理が煩雑になるので,OU設計によって対応することをお勧めする。

 基本のルールと変更するルールを正しく理解し,グループ・ポリシーを使いこなしてほしい。