Active Directory ドメインサービス – グループポリシー (グループポリシーとは)

Active Directory ドメインサービス
2024.01.19

今回はグループポリシーとはなんなのか,どういった動きをするのか.について説明を行います.
細かな操作方法については別途設定を実施する際に例示します.

グループポリシーとは

グループポリシーは Active Directory ドメインサービスの重要な機能の一つで,ドメインに所属しているユーザーやコンピューターに対して共通の設定を適用,管理を行うための仕組みです.
グループポリシーを利用することで,例えばユーザーに「コントロールパネルを開くことを許可しない」であったり,「ネットワークの設定を変更させない」などの制限を適用することができます.
また,コンピューターに対してはパスワードの長さや複雑性の設定を行うなどが可能です.

グループポリシーオブジェクト

グループポリシーという名称は AD DS の機能名で,グループポリシーという機能を実現するためにグループポリシーオブジェクトが存在します.グループポリシーオブジェクトは GPO と略されて呼ばれています.
GPO は,グループポリシーで利用するユーザーやコンピューターの設定を定義したオブジェクトです.一種の設定ファイルと思って頂いて大丈夫です.
グループポリシーは大きく分けて2種類あります.「ローカルポリシー」と「ドメインポリシー」です.

ローカルポリシー

ローカルポリシーは各々のコンピューター上に存在するグループポリシー,グループポリシーオブジェクトです.非ドメイン環境 (ワークグループ環境) でも利用が可能で,先に記載したような「コントロールパネルを開くことを許可しない」などの設定,制限を行うことが可能です.
ただし,ローカルポリシーはコンピューターごとに設定する必要があります.100台あれば100台に対して実施する必要があります.
ドメイン環境においても,ローカルポリシーは利用可能ですが,後で説明しますが,ポリシー提供の優先度によってドメインポリシーの設定で上書きされる可能性があります.

ドメインポリシー

ドメインポリシーは Active Directory ドメイン上に作成されるグループポリシー,グループポリシーオブジェクトです.ドメイン環境において,ユーザーやコンピューターのポリシー,設定を一元管理することができます.
ドメインポリシーは AD DS のサイトやドメイン,個々の組織単位 (OU) にリンクさせて利用しますので,全体に適用だったり,一部のユーザーやコンピューターにのみ適用だったりと柔軟な対応が可能となります.
ドメインポリシーの場合,100台のコンピューターを 組織単位 (OU) に纏め,その OU にポリシーをリンクさせることで,100台のコンピューターに同一の設定を適用させることができます.

Active Directory ドメインサービスを導入後,デフォルトで2種類の GPO が生成,適用されています.一つは「Default Domain Policy」というオブジェクトでドメインに対してリンクされています.もう一つは「Default Domain Controllers Policy」というオブジェクトで,ドメインコントローラーが所属する OU である「Domain Controllers」にリンクされています.

なお,度々「リンクさせる」と書いていますが,OU やドメインに対して GPO を有効にすることをリンクと呼びます.
その GPO をリンクした結果反映される設定をポリシーが適用された.と称します.

グループポリシーの適用順番・優先順位

グループポリシーには適用の順番や優先順位があり,これを考慮しないと意図しない設定が反映されてしまう.という事態が発生します.
ここでは,適用の順番や優先順位など,ポリシーがどのように設定されていくのかを説明します.

グループポリシーの継承

グループポリシーは継承の考えがあり,デフォルトの状態では下位の OU などに対して継承されていきます.

ですので,全体に適用させたい場合は「ドメイン」に対してもしくは「上位の OU」に対して共通設定としてのポリシーを作成,リンクすることで実現が可能となります.

グループポリシーの適用優先順位

また,グループポリシーは適用の優先順位があり,上位から下位にわたって複数のポリシーが適用されていく中で相反する設定が入る場合があります.その場合,基本的には一番下位の設定が有効になります.

ですので,全体的には「コントロールパネルは開かせない」けど,特定の部門のみ (IT部門など) は「コントロールパネルは開ける」という設定を行いたい場合は IT部門の OU に対して許可の設定を行うことで実現が可能になります.

適用の順番,優先順位は「グループポリシーの管理」でも確認が可能です.
「サーバーマネージャー」の 「ツール」をクリックし,「グループポリシーの管理」をクリックします.

確認したい OU を選択し,「グループポリシーの継承」タブをクリックします.
この場合だと OU は「IT部」を選択しています.
見て頂くとわかるとおり,下位にリンクしているポリシーが一番優先度が高い状態であることが確認できます.

同階層内の優先順位

ドメインや OU に対してポリシーをリンクすると説明をしていますが,ポリシーはドメインや OU に対して複数リンクさせることができます.ですので,複数リンクさせた場合に,同じ階層でも優先順位が付けられます.

以下の絵はドメインに対して2つのポリシーをリンクさせている状態で,優先順位が「Default Domain Policy」の方が上位という状態になっています.
この優先順位についてはリンクさせる順番を変更することで優先順位の変更が可能です.

グループポリシーの強制

グループポリシーは継承を行いつつ,下位のポリシーが優先されることを説明しましたが,この優先度を無視して上位のポリシーを強制させることも可能です.
下位側で色々と許可はしているが,この設定だけは強制させたい.というような場合に用いられます.

コンピューター と ユーザー のポリシーの適用順序

グループポリシーの適用順序ですが,まずはコンピューターが起動した際にコンピューターのポリシーが適用されます.その後,ユーザーがログオンし,ユーザーのポリシーが適用されます.従って,コンピューターポリシーより,ユーザーポリシーの方が優先度が高い状態となります.

ポリシーのループバック処理の適用

コンピューターポリシーとユーザーポリシーの適用順序により,ユーザーポリシーが優先されると説明しましたが,これでは困るケースが存在します.
例えば,IT管理者がクライアントPCにログオン,利用している場合とサーバー管理などでサーバーを管理するためにログオン,利用している場合に同じポリシーが適用されると困るケースがあります.

あるいは,デスクトップ端末とノートブック端末の両方を利用する場合などです.ノートブックは外出した場合でも利用できますので,それを前提としたポリシーになって欲しいはずです.

そのようなケースに対応するために「ポリシーのループバック適用」の機能があります.
コンピューターポリシーとして「ループバック適用する」ポリシーを作成,リンクさせることでそのコンピューターを利用している場合に追加の制御を行う.ということが可能です.

ループバック処理の「統合」と「置換」

ループバック処理には「統合」と「置換」があり,挙動が大きく異なります.

ループバック処理の「統合」

統合は,ユーザーポリシーとループバックポリシーをマージし,その結果を最終的なポリシーとして適用します.その為「統合」であてる場合は変えたい所だけをループバック処理用のポリシーとして作成,リンクさせます.
また,ユーザーポリシーとループバックポリシーのユーザーの構成でバッティングした場合はループバックポリシーが優先されます.

置換は,ユーザーポリシーを無視コンピューターポリシーないのユーザーの設定に置き換えられます.ですので,置換を利用する際は必要なユーザーポリシーの設定をループバック処理用のポリシーに設定しきる必要があります.

以上,グループポリシーの概要について説明を行いました.次回はグループポリシーを設定するための前準備について説明を行います.

コメント

タイトルとURLをコピーしました