第6回 リンクの継承と優先度およびフィルタ機能:グループ・ポリシーのしくみ(2/3 ページ)
Active Directory環境では複数のGPOが適用される。この際の継承順序や優先度、フィルタを制御することで、きめ細かな管理が可能になる。
このように、GPO はコンテナにリンクされ、リンクは下位コンテナに継承され、優先度に基づいてコンピュータやユーザーに適用される。
これが原則だが、例外的な設定をしたい場合がある。そのような場合のために、「継承のブロック」と「上書き禁止」という設定が用意されている。
継承のブロック
継承のブロックは、コンテナに対する設定である。
継承のブロックの設定
継承のブロックは、コンテナに対する設定である。ブロックしたいコンテナのプロパティ画面で設定する。
(1)ブロックしたいコンテナのプロパティ画面。Active Directoryの管理ツール(「Active Directoryユーザーとコンピュータ」ツール)で、コンテナを選び、右クリックしてポップアップ・メニューから[プロパティ]を選択すると表示される。
(2)ここにチェックを入れると、このコンテナで継承がブロックされる。
(3)これをクリックすると、後述の「上書き禁止」を設定できる。
[ポリシーを継承しない]にチェックを入れたコンテナは、上位コンテナからのリンクを継承しない。サイトにリンクしたGPOをドメインでブロックしたり、サイトやドメインにリンクしたGPOをOUでブロックしたりすることができる。
継承のブロックの例
OU 1に対して継承のブロックを設定すると、OU 1より上のコンテナへのリンクは、OU 1以下に継承されない。図中の「コンピュータ」には、GPO dと GPO fだけが継承される。なお、LGPOは継承するものではないので、ブロックされることはなく、常に適用される。結果として、「コンピュータ」には、GPO f、GPO d、LGPO(優先度順)が適用される。処理順は、原則どおりLGPO→GPO d→GPO f である。
継承のブロックを使えば、特定のコンテナの自律性を確保することができる。また、上位コンテナのリンクを考慮しなくてよくなるので、ブロックしたコンテナに適用されるGPOが明確になる。しかし、継承という自然な流れを止めてしまうことになるので、継承をブロックするのは必要最小限の場合だけにとどめるべきだろう。
上書き禁止(強制)
上書き禁止は、リンクに対する設定である。
上書き禁止を設定するには、設定したいリンクを選択して[オプション]をクリックし、[上書き禁止]にチェックを入れる。
上書き禁止の設定
上書き禁止は、リンクに対する設定である(これはWindows Server 2003の画面例)。上書き禁止を設定するには、設定したいリンクを選択して[オプション]ボタンをクリックする。この画面の設定内容については連載第5回の「GPOとコンテナとのリンク」も参照のこと。
(1)これをチェックすると、リンクは上書き禁止になる。
(2)これをチェックすると、リンクは無効になる。
(3)上書き禁止を選択したら、ここをクリックする。
上書き禁止を設定したリンクは、[上書き禁止]にチェックが付いて表示される(これはWindows Server 2003の画面例)。なお、Windows 2000では「上書き禁止」ではなく、[優先なし]と表示されるが、本来はどちらも同じ「No override」である。
上書き禁止にしたリンク
上書き禁止を設定したリンクは、[上書き禁止]にチェックが付いて表示される。
(1)リンク対象のコンテナ。
(2)コンテナとGPOとのリンク。
(3)上書き禁止のリンクには、ここにチェックが表示される。
上書き禁止のリンクは、下位コンテナでブロックされたり、ほかのリンクによって上書きされない。
上書き禁止の例
例えばOU 1とGPO dとのリンクが上書き禁止の場合、GPO fでGPO dとは異なるポリシー設定をしたり、OU 3で継承をブロックしたりしても、GPO dのポリシー設定がコンピュータに適用される。
上書き禁止リンクが複数あるときは、それらのリンクの間で、通常のコンテナ間の優先度(LSDOU の処理順)に従って、どのポリシーを適用するかが決定される。
上書き禁止は影響が大きいので注意が必要だ。例えば、上の例ではGPO bはサイトとリンクしており、通常は、そのリンクの優先度はActive DirectoryのGPOの中では最も低い。しかしその最低の優先度のリンクを上書き禁止にすると、サイトはグループ・ポリシーの対象のコンテナとしては最上位に位置するため、最も優先されるリンクに早変わりする。
原則の例外であるだけでなく、その影響の大きさからも、上書き禁止の使用は必要最小限の場合にとどめた方がよいだろう。
なお、グループ・ポリシー管理コンソール(GPMC)では用語が変更されており、「上書き禁止(No override)」は「強制(Enforced)」と呼ばれている。
Copyright© Digital Advantage Corp. All Rights Reserved.