Q

現在,Active Directory環境で,グループ・ポリシーを使って,ユーザーやコンピュータを管理しています。特殊な環境を必要とする専用コンピュータを追加して,そのための特別なOU(組織単位)に,特殊なGPO(グループ・ポリシー・オブジェクト)を設定してみましたが,うまく適用されていませんでした。詳しく調べてみると,どうもユーザーが所属するOUに割り当てたGPOが適用されているようです(図5)。ユーザーごとのポリシーではなく,専用コンピュータに設定したポリシーのみを有効にするにはどうすればいいのでしょうか。

図5●現状のActive Directoryシステム構成
User1~User4のユーザーが,専用端末OU(組織単位)であるOU3の端末にログオンすると,OU1やOU2と同じGPOが適用されてしまう。

A

GPOは,コンピュータ・ポリシーとユーザー・ポリシーの2種類に分かれており,基本的にコンピュータ・ポリシーはマシンの起動時に適用されます。それに対して,ユーザー・ポリシーはユーザーのログオン時に適用されます。例えば,ユーザーが所属するOUにGPOを適用していれば,結果的にそのGPOが適用されます。


△ 図をクリックすると拡大されます
図6●[上書きなし]の設定

 グループ・ポリシーには,「上書きなし」と呼ばれる,後から適用されるポリシーによって上書きされないようにそのポリシーの後に適用するという機能があります(図6)。ここでは詳しく説明できませんが,これはユーザー・ポリシーやコンピュータ・ポリシー内についてのみ有効で,ユーザー・ポリシーよりコンピュータ・ポリシーを優先させるためには使えません。

 とはいえ,キオスク端末や,今回のように専用ソフトウエアを動作させるマシンなどのように,ログオンしたユーザーのGPOの設定にかかわらず,コンピュータ固有の設定にしたいことがあります。こんなときに役に立つのがループバックの処理モードです。


△ 図をクリックすると拡大されます
図7●ループバックの処理モードの設定
図8●ループバックの処理モードを有効にした場合のGPOの適用順序

 この設定は,GPOの[コンピュータの構成]以下にある[ユーザグループポリシーループバックの処理モード]で制御します(図7)。この設定を「置換」か「結合」にすることでコンピュータに対して設定されたユーザーのGPOがログオン時に適用されます。

 置換は,ユーザー・ポリシーを無効にして,コンピュータ・ポリシーのみを適用するものです。それに対して,「結合」はユーザー・ポリシーだけにある設定項目はそのまま引き継いで,コンピュータ・ポリシーの設定項目を適用するものです。今回の用途では「置換」が向いています(図8)。

 GPOの標準の適用順を制御する設定としては,今回紹介したループバック処理モードのほかに,先ほど簡単に触れた「上書き禁止」や「継承の禁止」などが存在しています。ただし,安易にこれらの設定を多用すると,設定が複雑になり,予想外の抜け道や問題点が発生しかねません。実際に設定する前に,本当にこれらの設定が必要か,ほかの簡単な手段で代替できないかを検討のうえ,必要最低限の個所に限って設定するようにしてください。

高橋基信