3.4.3 継承
●グループポリシーの継承と組織単位の分割
しかし,実際の管理現場においては,必ずしも作業負担が軽減されない場面もある。たとえば,営業部門のデータベースを読み書きする権限を与えるため,営業部門のメンバが属する組織単位にグループポリシーを設定したとする。このとき,営業部門のマネージャや特定のメンバには,データを更新する権限や削除する権限も与えたいとしよう。このような場合,単純に権限を追加するだけであれば,営業部のマネージャや特定のメンバにグループポリシーの設定を追加すればすむ。しかし,同じ営業部門でも,製品の担当グループごとに権限が異なる場合には,製品の担当グループごとに異なるグループポリシーを適用しなければならなくなる。このような場合,単純に考えると,製品の担当グループごとに組織単位を分割し,それぞれにグループポリシーを割り当てなければならない。
この事例に見られるように,すべてをグループポリシーで管理しようとしすぎると,組織単位の構成に制限を受けたり,組織単位を細分化させねばならなくなったりする。機能や目的に応じてグループポリシーを適用するために組織単位を分割する場面もあるだろうが,あまりグループポリシーの適用を細分化しすぎると,管理すべき組織単位やグループポリシーの数が増加し,結局のところ管理負担の軽減というメリットが損なわれてしまうことがある。そのような場面では,組織単位を分割するのではなく,「3.4.4 グループポリシーオブジェクトのフィルタリング」で説明するフィルタリングを使用する。
●継承の解除
ところで,状況によっては,グループポリシーの継承を解除したいこともあるだろう。たとえば,ある事業部に共通するグループポリシーを設定しているとき,その事業部に属する営業部門には営業部門用のグループポリシーを別途設定したいような場合である。このような場面では,親コンテナのグループポリシーを継承しないように設定する必要がある。
ドメインおよび組織単位のグループポリシーを継承しないように設定するには[Active Directoryユーザーとコンピュータ]管理ツールを,サイトのグループポリシーを継承しないように設定するには[Active Directoryサイトとサービス]管理ツールを,それぞれ利用する。これらの管理ツールでグループポリシーを継承したくないドメイン,組織単位,サイトのグループポリシーオブジェクトのプロパティを開き,[ポリシーを継承しない]オプションを選択する。
Fig.3-24 グループポリシーの継承オプション
グループポリシーの継承にかかわるオプションには,次の2つが用意されている。
- [ポリシーを継承しない]
- 子コンテナでこのオプションを有効にすると,ドメイン,組織単位,サイトの各レベルでグループポリシーを継承させないようにすることができる。ただし,グループポリシーを継承しないように設定できるのは,ドメイン,組織単位,サイトのみであり,個々のグループポリシーオブジェクトで継承を拒否することはできない。
- [上書きなし]
- 親コンテナでこのオプションを有効にすると,親コンテナのグループポリシーの設定と子コンテナのグループポリシーの設定が競合する場合でも,あるいは子コンテナのグループポリシーの設定で[ポリシーを継承しない]オプションが有効になっている場合でも,親コンテナに設定されたグループポリシーが子コンテナにそのまま継承される。
 |
Chapter 3(後編) 4/17 |  |
