ポリシーの複製と更新が必要
これでグループポリシーの設定は完了した。あとは設定が反映されるのを待つだけだ。設定がいつユーザーやコンピュータに反映されるのかを知るには、2つのタイミングを理解する必要がある。(1)ドメインコントローラー同士でグループポリシー情報が複製されるタイミング、(2)クライアントパソコンでグループポリシー設定が更新されるタイミングである。
設定されたグループポリシー情報は、まずドメインコントローラー間で複製される。これが(1)のタイミングとなる。ドメインコントローラー間で複製されるタイミングは、同一サイト内で60分間隔、異なるサイト間では180分間隔が既定値だ。また、Active Directoryデータベースに変更があった場合、同一サイト内のドメインコントローラーには5分以内に情報が複製されるが、サイトが異なる場合は180分間隔で複製される。
(2)のタイミングについては、クライアントパソコンがポリシーの更新をチェックする間隔は90分である。ドメインコントローラー間の複製が行き渡ってからさらに最悪の場合90分かかるので、ポリシーの変更がクライアントパソコンに伝わるまでにかなりの遅延がある。すぐにドメインコントローラーの複製とグループポリシーの更新を実施したい場合は、手動で即実行するとよい。
一連の設定作業を終えたら、必ず適用結果を確認しよう。今回の設定では、グループポリシーが適用されているはずの環境で、スクリーンセーバーの設定画面を見ればよい。
設定時と運用時のポイント
グループポリシーの設定時と運用時のポイントを紹介しておこう。
設定時のポイントは2つある。1つめは、ポリシーの「有効」「未構成」「無効」の意味を正確に把握すること。
実は通常の日本語の感覚では少し勘違いしやすいのだ。グループポリシーの有効/無効は、ポリシーを有効にするか無効にするかではない。ポリシー自体を無効にするのはあくまで「未構成」だ。有効/無効はポリシーを有効にしたうえで、設定を「有効」にするか「無効」にするか、ということである。
「スクリーン セーバーをパスワードで保護する」というポリシーに関して言えば、「有効」はパスワード保護の有効を強制し、「無効」はパスワード保護の無効を強制する。そして「未構成」は、ポリシーを無効にし設定を強制しない、ということになる。毎回ヘルプを確認して設定するようにしよう(前回図6の③)。
