第6回 リンクの継承と優先度およびフィルタ機能グループ・ポリシーのしくみ(1/3 ページ)

Active Directory環境では複数のGPOが適用される。この際の継承順序や優先度、フィルタを制御することで、きめ細かな管理が可能になる。

» 2006年08月24日 00時00分 公開
[畑中哲]
[Windows技術解説] グループ・ポリシーのしくみ ―― 統一的なクライアント管理を実現するActive Directoryグループ・ポリシーを知る ―― 
Windows Server Insider

 

「[Windows技術解説] グループ・ポリシーのしくみ ―― 統一的なクライアント管理を実現するActive Directoryグループ・ポリシーを知る ―― 」のインデックス

連載目次


 前回は、Active Directory環境におけるグループ・ポリシーについて解説した。Active Directory環境であっても、スタンドアロンのコンピュータで利用されるローカル・グループ・ポリシー(LGPO)と仕組みや働きは同じであり、ただ、その保存場所が異なるというだけであった。LGPOの場合は、GPO(グループ・ポリシー・オブジェクト)やGPT(グループ・ポリシー・テンプレート)はローカル・コンピュータ上に保存されているが、Active Directoryの場合はドメイン・コントローラのSYSVOL共有上に保存され、それがドメイン内のコンピュータで共有されている。もう1つの重要な違いとして、Active Directory環境では、Active Directoryのコンテナ(サイト、ドメイン、OU)ごとにGPOが存在し、それら複数のGPOが組み合わされて利用されるという点が挙げられる。複数のGPOが利用されるため、どれが先に適用されるかによって、結果が異なることが予想されるが、今回はそのグループ・ポリシーの継承や優先度などについて解説する。


リンクの継承

 Active Directory上では、GPO(グループ・ポリシー・オブジェクト)のリンク先はコンテナだが、GPOの最終的な適用対象はコンピュータとユーザーである。そのコンピュータとユーザーは、Active Directoryの階層構造の中の複数のコンテナに含まれる。

Active Directoryの階層構造とGPOのリンク例
フォレスト、サイト、ドメイン、OU(組織単位)といったコンテナがあり、「OU 3」内には「コンピュータ」と「ユーザー」が存在する。コンテナには「GPO a」〜「GPO f」がリンクしている。

 例えば、図の右下にある「コンピュータ」は、以下のコンテナに含まれると考えられる(ディレクトリの厳密な階層構造とは異なるが、直感的にはこのようになるだろう)。

コンテナ リンクされているGPO
フォレスト なし
サイト(該当のネットワークにいる場合) GPO b
子ドメイン GPO c
OU 1 GPO d
OU 3 GPO f
適用されるGPOの例
上の図における「コンピュータ」に対して適用されるGPO。上位階層にあるコンテナにリンクされているGPOがすべて適用される。

 この「コンピュータ」には、これらの上位階層のコンテナにリンクされているGPOがすべて適用されるが、いくつか注意点がある。

  • GPOがリンクできるのはサイト、ドメイン、OUであり、フォレストにリンクされるGPOはない。
  • サイトにリンクされているGPOは常に適用されるわけではなく、そのサイトに該当するネットワークに入っている場合にだけ適用される(GPO bは、コンピュータがサイトに入っているときだけ適用される)。
  • ドメインの親子関係は、グループ・ポリシーでは階層と見なされず、親ドメインにリンクされているGPOは子ドメインには適用されない(GPO aは適用されないということ)。なお、ほかのドメインのGPOと明示的にリンクすることはできる(もしGPO aが子ドメインにもリンクしていたら、コンピュータにはGPO aも適用される)。しかし、複雑性やパフォーマンスの問題があるので、避けるべきである。
  • 上位階層に当たるコンテナでも、親子関係にないコンテナにリンクされているGPOは適用されない(OU2のGPO eは適用されない)。

 従って「コンピュータ」に適用されるのは、GPO b、c、d、fとなる。

 このように、上位コンテナにリンクされているGPOが下位コンテナへと受け継がれて適用対象となることを「継承」と呼ぶ。

 そして、LGPO(ローカルGPO)は常にリンクしていると考えるので(LGPOのリンクについては連載第2回「ローカル・グループ・ポリシー・オブジェクト(LGPO)」参照)、このコンピュータに適用されるGPOを総合すると、LGPOと、Active Directoryの上位コンテナから継承したGPO(b、c、d、f)ということになる。

コンテナ間の優先度

 LGPOと、上位コンテナから継承したGPOとを合わせると、1つのコンピュータ/ユーザーに複数のGPOが適用されることになる。コンピュータ/ユーザーには、それらすべてを合わせたポリシーが適用される。もし同じポリシーに対して複数のGPOが異なる設定をしていたら、以下の方針で解決される。

  • ローカルよりActive Directoryが優先される。
  • Active Directory内では、コンピュータ/ユーザーに近いコンテナが優先される。

 従って、優先度は、高い順に次のようになる。

  リンク先 GPO
1 コンピュータに近いOU GPO f
2 コンピュータに遠いOU GPO d
3 ドメイン GPO c
4 サイト GPO b
5 ローカル・コンピュータ LGPO
コンテナ間の優先度
先の図における「コンピュータ」に対して適用されるGPOの優先度。上にあるものほど優先度が高い。

 実際にグループ・ポリシーを計画/運用するに当たっては、優先度だけで考えるよりも、処理の順番という考え方をする方が分かりやすいことが多い。つまり、優先度の低いGPOから順番に処理され、処理のたびに上書きしていくと考える。

処理順 リンク先 GPO
1 ローカル・コンピュータ LGPO
2 サイト GPO b
3 ドメイン GPO c
4 コンピュータに遠いOU GPO d
5 コンピュータに近い OU GPO f
GPOの処理順序
GPOの優先度は、GPOの処理順序(適用順序)と考えると分かりやすい。優先度の低いGPOが先に処理され、優先度の高いGPOが後から処理される。これにより、優先度の高いGPOの内容が効果を持つことになる。

 この処理順(Local、Site、Domain、OU)は、しばしば、英語の頭文字から「LSDOU」と呼ばれる。ぜひ覚えておきたい。

 具体例をいくつか挙げておこう。各GPOで、管理用テンプレートの同一のポリシーが設定されている場合、コンピュータ上で最終的に適用されるポリシー設定は以下のようになる。

処理順 リンク先 GPO 例1 例2 例 3
1 ローカル・コンピュータ LGPO 有効 未構成 未構成
2 サイト GPO b 有効 未構成 未構成
3 ドメイン GPO c 有効 無効 未構成
4 コンピュータに遠いOU GPO d 有効 有効 未構成
5 コンピュータに近いOU GPO f 無効 未構成 未構成
最終的に適用されるポリシー 無効 有効 未構成
GPOとその適用結果の例
先の画面のGPOで、あるポリシー(すべて同じもの)を設定した場合、最終的にどのようになるかを示した例。例えば例1では、1〜4のGPOで「有効」にし、5では「無効」にしている。この場合、最終的には、最後にある5のポリシーが適用され、「無効」となる。管理用テンプレートのポリシーの「有効/無効/未構成」の違いについては、連載第3回「グループ・ポリシーの設定例」を参照のこと。

 例えば例2の場合では、次のような順序で処理される。

処理順 処理するGPO 処理内容 処理が終わった段階でのポリシー設定
1 LGPO GPOのポリシー(未構成)が読み込まれる 未構成
2 GPO b GPO のポリシーは未構成なので、1つ前の段階でのポリシーを変更しない 未構成
3 GPO c GPOのポリシー(無効)で上書き 無効
4 GPO d GPOのポリシー(有効)で上書き 有効
5 GPO f GPO のポリシーは未構成なので、1つ前の段階でのポリシーを変更しない 有効
例2の場合の処理内容
複数の優先度のGPOが存在する場合、このような処理を経て、最終的な設定が決まる。

 このような処理を経て、最終的に「有効」というポリシーを適用することが決まる。

こうして最終的に適用するポリシーが決まったら、その適用は、LGPOしかない場合と同じである。管理用テンプレートCSEは、この最終的に決まったポリシーに基づいて、レジストリ値をセットしたり削除したりする。グループ・ポリシーの適用については、連載第4回「グループ・ポリシーの適用」を参照していただきたい。

特殊な扱いを受けるセキュリティ・ポリシー

 このように継承と優先度の原則が定められているのだが、実は、この原則どおりに動作するかどうかは、グループ・ポリシーの拡張(extension)しだいである(詳細については連載第2回「グループ・ポリシーの『拡張』」参照)。

 継承と優先度の原則から外れた拡張としては、セキュリティ・ポリシーの拡張がある。Active Directoryでは、ドメイン・アカウントに対するセキュリティ・ポリシーは、ドメイン・コンテナにリンクされたGPOからしか適用されない。

同一コンテナに対する複数リンクの優先度

 1つのコンテナには複数のGPOをリンクすることができる。

コンテナとGPOの複数のリンク
この図では、リンクを線で表している。「全社用ポリシー」GPOは「総務部」OUにも「営業部」OUにもリンクしている。「営業部」OUには「全社用ポリシー」GPOと「営業部用ポリシー」GPOの2つがリンクしている。このように、Active Directoryでは、1つのGPOを複数のコンテナにリンクすることもできるし、1つのコンテナに複数のGPOをリンクすることもできる。

 1つのコンテナに複数のGPOがリンクしている場合は、そのコンテナに対するリンクの優先度を決めることができる。

同一コンテナに対する複数リンク
一つのコンテナに複数のリンクがある場合は、そのコンテナに対するリンクの優先度を決める。
 (1)複数のリンクの一覧。優先度の高い順に並んでいる。
 (2)一覧のリンクを選択し、[上へ]をクリックすると、そのリンクの優先度が上がる。
 (3)一覧のリンクを選択し、[下へ]をクリックすると、そのリンクの優先度が下がる。

 GPOを選択し、[上へ]をクリックすると、そのGPOとこのコンテナとのリンクの優先度が高くなる。[下へ]をクリックすると、低くなる。

 この画面では、「全社用ポリシー」の方が「営業部用ポリシー」より優先度が高い。処理順でいえば、「営業部用ポリシー」→「全社用ポリシー」という順で処理される。

 優先度と処理順、そして最終的に適用されるポリシーの決定は、すでに説明したコンテナ間の優先度と処理順と同じだ。上の画面のGPOで管理用テンプレートのポリシーが次のように設定されている場合、「営業部」コンテナに適用されるポリシー設定はこのようになる。

処理順 GPO 例1 例2 例3
1 営業部用ポリシー 有効 有効 未構成
2 全社用ポリシー 無効 未構成 未構成
コンテナに適用されるポリシー 無効 有効 未構成
ポリシーの適用例
ポリシーがこのように設定されている場合、「営業部」コンテナに適用されるポリシーはこのようになる。


       1|2|3 次のページへ

Copyright© Digital Advantage Corp. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

AI for エンジニアリング
「サプライチェーン攻撃」対策
1P情シスのための脆弱性管理/対策の現実解
OSSのサプライチェーン管理、取るべきアクションとは
Microsoft & Windows最前線2024
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。