第6回 リンクの継承と優先度およびフィルタ機能:グループ・ポリシーのしくみ(1/3 ページ)
Active Directory環境では複数のGPOが適用される。この際の継承順序や優先度、フィルタを制御することで、きめ細かな管理が可能になる。
![[Windows技術解説] グループ・ポリシーのしくみ ―― 統一的なクライアント管理を実現するActive Directoryグループ・ポリシーを知る ――](https://image.itmedia.co.jp/ait/articles/0608/24/top_news124.gif)
![「[Windows技術解説] グループ・ポリシーのしくみ ―― 統一的なクライアント管理を実現するActive Directoryグループ・ポリシーを知る ―― 」のインデックス](https://image.itmedia.co.jp/ait/files/20010101/backn2.gif){kind=small}
前回は、Active Directory環境におけるグループ・ポリシーについて解説した。Active Directory環境であっても、スタンドアロンのコンピュータで利用されるローカル・グループ・ポリシー(LGPO)と仕組みや働きは同じであり、ただ、その保存場所が異なるというだけであった。LGPOの場合は、GPO(グループ・ポリシー・オブジェクト)やGPT(グループ・ポリシー・テンプレート)はローカル・コンピュータ上に保存されているが、Active Directoryの場合はドメイン・コントローラのSYSVOL共有上に保存され、それがドメイン内のコンピュータで共有されている。もう1つの重要な違いとして、Active Directory環境では、Active Directoryのコンテナ(サイト、ドメイン、OU)ごとにGPOが存在し、それら複数のGPOが組み合わされて利用されるという点が挙げられる。複数のGPOが利用されるため、どれが先に適用されるかによって、結果が異なることが予想されるが、今回はそのグループ・ポリシーの継承や優先度などについて解説する。
リンクの継承
Active Directory上では、GPO(グループ・ポリシー・オブジェクト)のリンク先はコンテナだが、GPOの最終的な適用対象はコンピュータとユーザーである。そのコンピュータとユーザーは、Active Directoryの階層構造の中の複数のコンテナに含まれる。
Active Directoryの階層構造とGPOのリンク例フォレスト、サイト、ドメイン、OU(組織単位)といったコンテナがあり、「OU 3」内には「コンピュータ」と「ユーザー」が存在する。コンテナには「GPO a」〜「GPO f」がリンクしている。
例えば、図の右下にある「コンピュータ」は、以下のコンテナに含まれると考えられる(ディレクトリの厳密な階層構造とは異なるが、直感的にはこのようになるだろう)。
| コンテナ | リンクされているGPO |
|---|---|
| フォレスト | なし |
| サイト(該当のネットワークにいる場合) | GPO b |
| 子ドメイン | GPO c |
| OU 1 | GPO d |
| OU 3 | GPO f |
| 適用されるGPOの例 上の図における「コンピュータ」に対して適用されるGPO。上位階層にあるコンテナにリンクされているGPOがすべて適用される。 | |
この「コンピュータ」には、これらの上位階層のコンテナにリンクされているGPOがすべて適用されるが、いくつか注意点がある。
- GPOがリンクできるのはサイト、ドメイン、OUであり、フォレストにリンクされるGPOはない。
- サイトにリンクされているGPOは常に適用されるわけではなく、そのサイトに該当するネットワークに入っている場合にだけ適用される(GPO bは、コンピュータがサイトに入っているときだけ適用される)。
- ドメインの親子関係は、グループ・ポリシーでは階層と見なされず、親ドメインにリンクされているGPOは子ドメインには適用されない(GPO aは適用されないということ)。なお、ほかのドメインのGPOと明示的にリンクすることはできる(もしGPO aが子ドメインにもリンクしていたら、コンピュータにはGPO aも適用される)。しかし、複雑性やパフォーマンスの問題があるので、避けるべきである。
- 上位階層に当たるコンテナでも、親子関係にないコンテナにリンクされているGPOは適用されない(OU2のGPO eは適用されない)。
従って「コンピュータ」に適用されるのは、GPO b、c、d、fとなる。
このように、上位コンテナにリンクされているGPOが下位コンテナへと受け継がれて適用対象となることを「継承」と呼ぶ。
そして、LGPO(ローカルGPO)は常にリンクしていると考えるので(LGPOのリンクについては連載第2回「ローカル・グループ・ポリシー・オブジェクト(LGPO)」参照)、このコンピュータに適用されるGPOを総合すると、LGPOと、Active Directoryの上位コンテナから継承したGPO(b、c、d、f)ということになる。
コンテナ間の優先度
LGPOと、上位コンテナから継承したGPOとを合わせると、1つのコンピュータ/ユーザーに複数のGPOが適用されることになる。コンピュータ/ユーザーには、それらすべてを合わせたポリシーが適用される。もし同じポリシーに対して複数のGPOが異なる設定をしていたら、以下の方針で解決される。
- ローカルよりActive Directoryが優先される。
- Active Directory内では、コンピュータ/ユーザーに近いコンテナが優先される。
従って、優先度は、高い順に次のようになる。
| リンク先 | GPO | |
|---|---|---|
| 1 | コンピュータに近いOU | GPO f |
| 2 | コンピュータに遠いOU | GPO d |
| 3 | ドメイン | GPO c |
| 4 | サイト | GPO b |
| 5 | ローカル・コンピュータ | LGPO |
| コンテナ間の優先度 先の図における「コンピュータ」に対して適用されるGPOの優先度。上にあるものほど優先度が高い。 | ||
実際にグループ・ポリシーを計画/運用するに当たっては、優先度だけで考えるよりも、処理の順番という考え方をする方が分かりやすいことが多い。つまり、優先度の低いGPOから順番に処理され、処理のたびに上書きしていくと考える。
| 処理順 | リンク先 | GPO |
|---|---|---|
| 1 | ローカル・コンピュータ | LGPO |
| 2 | サイト | GPO b |
| 3 | ドメイン | GPO c |
| 4 | コンピュータに遠いOU | GPO d |
| 5 | コンピュータに近い OU | GPO f |
| GPOの処理順序 GPOの優先度は、GPOの処理順序(適用順序)と考えると分かりやすい。優先度の低いGPOが先に処理され、優先度の高いGPOが後から処理される。これにより、優先度の高いGPOの内容が効果を持つことになる。 | ||
この処理順(Local、Site、Domain、OU)は、しばしば、英語の頭文字から「LSDOU」と呼ばれる。ぜひ覚えておきたい。
具体例をいくつか挙げておこう。各GPOで、管理用テンプレートの同一のポリシーが設定されている場合、コンピュータ上で最終的に適用されるポリシー設定は以下のようになる。
| 処理順 | リンク先 | GPO | 例1 | 例2 | 例 3 |
|---|---|---|---|---|---|
| 1 | ローカル・コンピュータ | LGPO | 有効 | 未構成 | 未構成 |
| 2 | サイト | GPO b | 有効 | 未構成 | 未構成 |
| 3 | ドメイン | GPO c | 有効 | 無効 | 未構成 |
| 4 | コンピュータに遠いOU | GPO d | 有効 | 有効 | 未構成 |
| 5 | コンピュータに近いOU | GPO f | 無効 | 未構成 | 未構成 |
| 最終的に適用されるポリシー | 無効 | 有効 | 未構成 | ||
| GPOとその適用結果の例 先の画面のGPOで、あるポリシー(すべて同じもの)を設定した場合、最終的にどのようになるかを示した例。例えば例1では、1〜4のGPOで「有効」にし、5では「無効」にしている。この場合、最終的には、最後にある5のポリシーが適用され、「無効」となる。管理用テンプレートのポリシーの「有効/無効/未構成」の違いについては、連載第3回「グループ・ポリシーの設定例」を参照のこと。 | |||||
例えば例2の場合では、次のような順序で処理される。
| 処理順 | 処理するGPO | 処理内容 | 処理が終わった段階でのポリシー設定 |
|---|---|---|---|
| 1 | LGPO | GPOのポリシー(未構成)が読み込まれる | 未構成 |
| 2 | GPO b | GPO のポリシーは未構成なので、1つ前の段階でのポリシーを変更しない | 未構成 |
| 3 | GPO c | GPOのポリシー(無効)で上書き | 無効 |
| 4 | GPO d | GPOのポリシー(有効)で上書き | 有効 |
| 5 | GPO f | GPO のポリシーは未構成なので、1つ前の段階でのポリシーを変更しない | 有効 |
| 例2の場合の処理内容 複数の優先度のGPOが存在する場合、このような処理を経て、最終的な設定が決まる。 | |||
このような処理を経て、最終的に「有効」というポリシーを適用することが決まる。
こうして最終的に適用するポリシーが決まったら、その適用は、LGPOしかない場合と同じである。管理用テンプレートCSEは、この最終的に決まったポリシーに基づいて、レジストリ値をセットしたり削除したりする。グループ・ポリシーの適用については、連載第4回「グループ・ポリシーの適用」を参照していただきたい。
特殊な扱いを受けるセキュリティ・ポリシー
このように継承と優先度の原則が定められているのだが、実は、この原則どおりに動作するかどうかは、グループ・ポリシーの拡張(extension)しだいである(詳細については連載第2回「グループ・ポリシーの『拡張』」参照)。
継承と優先度の原則から外れた拡張としては、セキュリティ・ポリシーの拡張がある。Active Directoryでは、ドメイン・アカウントに対するセキュリティ・ポリシーは、ドメイン・コンテナにリンクされたGPOからしか適用されない。
- ドメイン コントローラのグループ ポリシー適用ルール(マイクロソフト サポート技術情報)
- How to configure account policies in Active Directory[英語](マイクロソフト サポート技術情報)
同一コンテナに対する複数リンクの優先度
1つのコンテナには複数のGPOをリンクすることができる。
コンテナとGPOの複数のリンクこの図では、リンクを線で表している。「全社用ポリシー」GPOは「総務部」OUにも「営業部」OUにもリンクしている。「営業部」OUには「全社用ポリシー」GPOと「営業部用ポリシー」GPOの2つがリンクしている。このように、Active Directoryでは、1つのGPOを複数のコンテナにリンクすることもできるし、1つのコンテナに複数のGPOをリンクすることもできる。
1つのコンテナに複数のGPOがリンクしている場合は、そのコンテナに対するリンクの優先度を決めることができる。
同一コンテナに対する複数リンク一つのコンテナに複数のリンクがある場合は、そのコンテナに対するリンクの優先度を決める。
(1)複数のリンクの一覧。優先度の高い順に並んでいる。
(2)一覧のリンクを選択し、[上へ]をクリックすると、そのリンクの優先度が上がる。
(3)一覧のリンクを選択し、[下へ]をクリックすると、そのリンクの優先度が下がる。
GPOを選択し、[上へ]をクリックすると、そのGPOとこのコンテナとのリンクの優先度が高くなる。[下へ]をクリックすると、低くなる。
この画面では、「全社用ポリシー」の方が「営業部用ポリシー」より優先度が高い。処理順でいえば、「営業部用ポリシー」→「全社用ポリシー」という順で処理される。
優先度と処理順、そして最終的に適用されるポリシーの決定は、すでに説明したコンテナ間の優先度と処理順と同じだ。上の画面のGPOで管理用テンプレートのポリシーが次のように設定されている場合、「営業部」コンテナに適用されるポリシー設定はこのようになる。
| 処理順 | GPO | 例1 | 例2 | 例3 |
|---|---|---|---|---|
| 1 | 営業部用ポリシー | 有効 | 有効 | 未構成 |
| 2 | 全社用ポリシー | 無効 | 未構成 | 未構成 |
| コンテナに適用されるポリシー | 無効 | 有効 | 未構成 | |
| ポリシーの適用例 ポリシーがこのように設定されている場合、「営業部」コンテナに適用されるポリシーはこのようになる。 | ||||
Copyright© Digital Advantage Corp. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。