Windows Server 2016 グループポリシー 処理の構成

どうも、Miyaです。

以前にグループポリシーの概要ということで、デモストレーションを交えて、グループポリシーの基本的な動作についてご説明しました。

今回は、グループポリシーの処理の構成にフォーカスを当て、ちょっと踏み込んだグループポリシーの動作についてご説明します。
シンプルな構成が一番ですが、時に適応処理を操作することで、より柔軟なグループポリシーを構成できます。

スポンサーリンク:

グループポリシーとは?

グループポリシーは、さまざまなポリシー設定が管理でき、最終的にはWindows端末のほぼ全ての設定を管理することができます。
例えば、ユーザーにnotepad.exe(メモ帳)を起動させないなどのソフトウェア制限機能やコントロールパネルを使わせないなどのコンピューター機能の制御があります。
また、ユーザーの負担を減らすために、必要な設定をグループポリシーで自動設定したり、スクリプトの配布も可能ですので、あらゆる設定をユーザーに強要することが出来ます。

グルーポリシーには、GPO(Group Policy Object)という複数のポリシーが構成されたオブジェクトをサイト、ドメイン、OU単位でリンクすることで、効果を発揮します。
GPOの適応

以前の記事では、InternetExplorerの詳細設定タブを非表示にし、ユーザーから変更させれないよう構成しましたね。

便利なグループポリシーですが、適応順序や優先度といったルール、継承やブロックといった設定で構成をカスタマイズができるんです。

今回は、そのグループポリシーの処理の構成について詳しくご説明したいと思います。

グループポリシーの適用

まずは、グループポリシーの適用方法について触れておきます。

グループポリシーの主導は、クライアントにあります。

クライアントがGPOをドメインから取得し、クライアント側拡張機能 (CSE)がGPOに構成された各ポリシーを解釈します。
それらの情報をCSEがローカルコンピューターと現在サインイン中のユーザーに対して、設定変更を行います。
グループポリシー

CSEには主要なカテゴリ毎に用意されており、セキュリティ CSE、スタートアップとログオン スクリプトを実行する CSE、ソフトウェアをインストールする CSE、およびレジストリ キーと値を変更する CSE などが存在します。

各CSEはWindowsコンピューターにdllファイルとして数十個存在しています。
コンピューターに存在するCSEファイルを確認するには、下記レジストリから確認することができます。
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions
グループポリシー

一部のグループポリシーが適応されない!なんて時のトラブルシューティングとしてCSEも視野に入れておきましょう。

クライアントがGPOをプルするタイミングは以下の通りです。

  • コンピューターの起動時
  • ユーザーのサインイン時

上記以外でも、クライアントはGPOを定期的な間隔でDCに確認しに行きます。
これをグループポリシーの更新と呼びます。

グループポリシーの更新

コンピューター起動時とユーザーのサインイン時にGPOを確認しに行きますが、その後は定期的に更新しに行きます。

DCは5分間隔、その他メンバーコンピューターは90分~120分間隔で更新されます。

DCは5分間隔と決まった周期なのですが、メンバーコンピューターは90~120分の区間でランダムな更新が走ります。
メンバーコンピューターは数量が多いために、決まった周期で更新してしまうと、アクセスが集中しちゃいます。
それを防ぐためにも、90~120分の間でズラしています。
グループポリシー

また、コマンドプロンプトからgpupdate /forceコマンドで強制更新が可能です。
グループポリシー

管理者からクライアント端末のグループポリシーを強制更新したい場合は、[グループポリシーの管理]コンソールからリモート更新が可能です。
グループポリシー

グループポリシーの適応処理について

クライアントとグループポリシーの関係について理解したところで、次にグループポリシーの適応処理についてご説明します。
グループポリシーはサイト、ドメイン、OUにリンクすることで設定を強制できますが、複数のGPOがリンクされている場合に、適応順序、継承などのルールがあったり、ブロック、強制などのカスタマイズが可能となっております。

それでは、順にご説明していきましょう。

グループポリシーの適応順序と継承

下図のような複数のグループポリシーがリンクされている場合に、適応順序に従って適応されていきます。

グループポリシーは以下のような順序で適応されます。

  1. ローカルグループポリシー
  2. サイト
  3. ドメイン
  4. 親OU
  5. 子OU

先ほどの画像を例に挙げると以下のような順番で適応されます。
グループポリシー

ちなみに、ローカルグループポリシーとは、コンピューター単位で用意されているポリシーになります。
[ファイル名を指定して実行]で[gpedit.msc]からポリシーを構成することが出来ます。
グループポリシー

重要なのが、上位ノードにリンクされているGPOは下位ノードに継承されるということです。
つまり、ドメインにリンクされているポリシー構成は、子OUの配下のオブジェクトにまで適応されます。

この時、競合するポリシー設定が存在していた場合は、グループの適応順序により、最終的に有効となるポリシーが決まります。
先ほどの場合、ドメインにリンクされているポリシー設定に[デスクトップの壁紙変更の禁止]が構成されているとします。
一方で子OUにリンクされているポリシー設定には、[デスクトップの壁紙変更の許可]が構成されていた場合、子OUのオブジェクトに適応されるポリシー設定はデスクトップの壁紙変更の許可が適応されるということです。

グループ ポリシーの適用において、最後に適用されるポリシーが一番強いというのが、全般的な規則です。

グループポリシーのブロック

先ほど、グループポリシーの継承の話をしましたが、継承されてしまうと困るケースがあると思います。
この時に、ADのグループポリシーではブロックという設定があります。

ブロックすることで、上位にリンクされているGPOの設定の継承を無効化することができます。

継承のブロックをするには、GPMCからドメインまたは OU を右クリックし、[継承のブロック] を選択します。
グループポリシー

こちらの画像では、子OUには[DefaultDomainPolicy]と[親OUにリンクするGPO]が継承されていますね。
グループポリシー

ブロックしてみると、[子OUにリンクするGPO]のみが適応されているのが確認できますね。
ブロックするとOUに「!」マークが付けられます。
グループポリシー

ただ、継承のブロックは、グループポリシーの構成を複雑化するため、やたらめった行うことはおススメできません。

グループポリシーの強制

さて、最後にご説明するのがグループポリシーの強制です。

先程説明した通り、GPOの適応には適応順序に従って、継承されます。
そのため、競合するポリシー設定が優先順位の高いGPOに上書きされてしまうという問題が発生します。

グループポリシーの強制では、優先順位の高い下位のGPOで競合するポリシーが構成されていたとしても、強制されたGPOの優先順位が高くなり、上書きを防ぐという働きをします。
また、先に説明した継承のブロックが有効になったとしても、そのルールを無視して適応させることが出来ます。

例えば、会社全体で守るべきルールが構成されたGPOがドメイン全体にリンクされいたとします。
しかし、下位であるOUにそのルールを無視するようなGPOがリンクされてしまった場合、会社のポリシーに反してしまいます。
そんな時、強制を行うことで、ドメインにリンクされているGPOを優先して適応することが出来ます。
グループポリシー

グループポリシーの強制を行うには、設定したいGPOを右クリックし、[強制]をクリックすることで設定出来ます。
グループポリシー

EnginnerOUの優先順位は[子OUにリンクするGPO]が1となっているため、[DefaultDomainPolicy]のポリシー構成が上書きされてしまう状況です。
グループポリシー

しかし、[DefaultDomainPolicy]を強制することで、優先順位が1になっていることが確認できます。
グループポリシー

おわりに

これらの設定はグループポリシーの構成を複雑にするため、過度な設定はおススメしません。
しかしながら、権力者の方から「ワイのPCは制限しやんといてくれやっ」なんてワガママな要望を頂くことがあると思います。
そんな時、これらの設定を駆使すれば実現できると思いますので、よければマスターしてって下さい。

それでは、よいWindows Serverライフをっ♪

スポンサーリンク