この特集のトップページへ

head1.gif 3.4 グループポリシーの適用と継承

 Acive Directory環境では,ドメイン,組織単位(Organizational Unit:OU),サイトにおけるメンバシップに基づき,ユーザーやコンピュータに対してグループポリシーが適用される。つまり,グループポリシーの適用対象となるActive Directoryオブジェクトは,ユーザーオブジェクトとコンピュータオブジェクトである。ドメインに設定されたグループポリシーはドメイン内のすべてのユーザーとコンピュータに,組織単位に設定されたグループポリシーは組織単位内のすべてのユーザーとコンピュータに,サイトに設定されたグループポリシーはサイト内のすべてのユーザーとコンピュータに,それぞれ影響を与える。これらのグループポリシーは,デフォルトでフルコントロールのアクセス権限を割り当てられているグループ(Local System, Somain Admins, Administrators)を除くすべてのユーザーに対して適用されるようになっている。

head2.gif 3.4.1 グループポリシーの適用順序
 すでに何度も述べたように,グループポリシーは,ドメイン,組織単位,サイトに設定される。これらは,無秩序にユーザーやコンピュータに適用されるのではなく,必ず次の順序で適用され,原則的には上書きされる(設定によっては上書きされないこともある)。

  1. 各コンピュータのローカルポリシーオブジェクト
  2. サイトのグループポリシーオブジェクト(複数ある場合は設定順)
  3. ドメインのグループポリシーオブジェクト(複数ある場合は設定順)
  4. 組織単位のグループポリシーオブジェクト(組織単位が階層化されている場合は,親組織単位から子組織単位の順に適用される。また,同じ組織単位のレベルであれば設定順)

 ただし,Windows NT 4.0のシステムポリシーが割り当てられている場合は,次の手順で適用される。つまり,ローカルポリシーはWindows NT 4.0のシステムポリシーよりもまえに適用され,そのあと残りのグループポリシーが適用されることになる。

  1. 各コンピュータのローカルポリシーオブジェクト
  2. Windows NT 4.0のシステムポリシー
  3. サイトのグループポリシーオブジェクト(複数ある場合は設定順)
  4. ドメインのグループポリシーオブジェクト(複数ある場合は設定順)
  5. 組織単位のグループポリシーオブジェクト(組織単位が階層化されている場合は,親組織単位から子組織単位の順に適用される。また,同じ組織単位のレベルであれば設定順)
prevpg.gif Chapter 3(後編) 1/17 nextpg.gif