コンピュータに設定した GPO を優先適用する

対象プラットフォーム

質問

現在、Active Directoryを用いたドメインの管理を行っています。ユーザや通常のOAマシンについては、図1のように、いくつかのOUに分割して何とか管理をおこなっています。

しかし、何台かある専用コンピュータの扱いに苦慮しています。ユーザがログオンすると、そのユーザが所属しているOUのユーザのGPOが適用されてしまいます。もちろん通常のOA用コンピュータにログオンした場合はこれで問題ないのですが、専用コンピュータについては、特殊な環境を必要とするため、一般のユーザに割り当てられたGPOを適用したくありません。専用コンピュータのOUを分けてみましたが、やはりユーザのログオン時にはユーザが所属するOUでユーザに割り当てられたGPOが適用されてしまうため、効果がありませんでした。


図1: 現状の構成

結局、現状は、これらのコンピュータについてはドメイン構成をあきらめ、ワークグループのまま運用していますが、アカウント情報が共用できないなどの弊害が出ています。

何かよい対処策はないでしょうか?

回答

基本的に、コンピュータに適用されるGPOは、コンピュータ起動時に「ローカルポリシー→サイト→ドメイン→最上位OU→ ... →最下位OU」といった順番で、コンピュータの所属するOUのGPOが適用されます。それに対して、ユーザのGPOは、その性格上ユーザのログオン時に適用が行なわれ、その際は当然ユーザが所属するOUのGPOが適用されます。そのため、今回のようなケースでは、ユーザのGPOが適用されてしまいます。

なお、図xxのようにコンピュータのGPOに「上書きを禁止」を設定してもユーザのGPO適用を抑止することはできません。


図2: 上書き禁止の設定

しかし、キオスク端末や、今回のように専用ソフトウェアを動作させるコンピュータなどのように、ログオンしたユーザのGPOの設定に関わらず、コンピュータ固有の設定を行ないたい場合があります。こうした場合に役に立つのが、ループバックの処理モードです。

この設定は図3のようにGPOの「コンピュータの構成」以下にある「ユーザグループポリシー ループバックの処理モード」で制御します。


図3: 「ループバックの処理モード」の設定箇所

この設定を「置換」または「結合」にすることで、図4のように、コンピュータに対して設定されたユーザのGPOがログオン時に適用されます。

「置換」の場合は、コンピュータに対して設定されたGPOで設定が上書きされるのに対して、「結合」はユーザに対して設定されたGPOに更に追加でコンピュータに対して設定されたGPOが適用されることを意味します。今回のようにコンピュータ側のGPOの設定を強制したい場合は、「置き換え」を選択すればよいでしょう。


図4: ループバックの処理モードが有効な場合のGPOの適用順

GPOの標準の適用順を制御する設定としては、今回紹介したループバックモードの他に、上書き禁止や継承の禁止などが存在しています。

しかし安易にこれらの設定を多用すると、設定が複雑になり、予想外の抜け道や問題点が発生しかねません。実際に設定を行なう前に、本当にこれらの設定が必要か、他の簡単な手段で代替できないかを検討の上、必要最低限の箇所に限って行なうようにしてください。

参考情報

注記・補足

  1. 本文書は、筆者が検証した結果を筆者の方で HTML 化して掲載しているものです。