グループ・ポリシーの［コンピュータの構成］で設定した内容のみを適用したい

瀧澤俊臣

2003.02.01

Active Directory環境でグループ・ポリシーを使用しています。セミナーに参加する社外の顧客が一時的なユーザーとして使用できるコンピュータを設置しようと考えています。そのため，利用するユーザーに関係なく，コンピュータに対してのみグループ・ポリシーを適用して，どのユーザーでも常に同じ構成にする必要があります。グループ・ポリシー・オブジェクトの［コンピュータの構成］のみを適用し，［ユーザーの構成］が適用されないように設定したいのですが可能でしょうか？

Active Directoryのグループ・ポリシーが持つループバック処理モードを使えば可能です。このループバック処理モードとは，会社の受付，学校の教室など特定コンピュータでの使用を想定した機能で，ポリシーの適用ルールで通常と異なる例外処理が構成できます。

　一般的に，グループ・ポリシー・オブジェクトは，まずコンピュータを起動すると，［コンピュータの構成］の項目についてローカル・コンピュータ，サイト，ドメイン，OUおよび子OUといった順番に設定内容を適用します。その後，ユーザーがログオンした後に，今度は［ユーザーの構成］の項目について，ローカル・コンピュータ，サイト，ドメイン，OUおよび子OUの順に適用されます

　これに対して，ループバック処理モードを使用すると，ユーザーのログオン後に，もう一度［コンピュータの構成］を適用できます。実際の適用方法としては，置換と結合の2つのモードが選択できます（図1）。置換モードは［コンピュータの構成］のみを適用し，結合モードは［ユーザーの構成］を適用した後に再度［コンピュータの構成］を適用します。

図1●コンピュータを起動してユーザーが操作可能になるまでに適用されるグループ・ポリシー・オブジェクトの流れ
ループバック処理モードの置換を使えば［コンピュータの構成］で設定した内容のみを適用することが可能になる。

　つまり置換モードを使用すると［ユーザーの構成］が適用されないことになります。例えば，親OUで［上書きなし］のグループ・ポリシー・オブジェクト・リンクを設定していても，子OUでは［ユーザーの構成］が適用されないため，結果として親OUによるグループ・ポリシー・オブジェクト強制適用の指定を無視することができます。

　ループバック処理モードを設定するには，グループ・ポリシーの設定画面で［コンピュータの構成］－［管理用テンプレート］－［システム］－［グループポリシー］を開きます（図2）。その中にある［ユーザグループポリシーループバックの処理モード］をダブル・クリックします。そこで［有効］をチェックし，モードとして［置換］を選択すれば，グループ・ポリシーの［コンピュータの構成］で設定した内容のみを適用できます。

（瀧澤俊臣）