特定のユーザーやPCに限定してグループポリシー(GPO)を適用させる方法

GPOを特定のユーザーやPCにだけ適用させる方法を本記事では解説します。GPOのセキュリティー権限でコントロールをします。

目次

特定のユーザーにだけGPOを適用する方法

下の図のポリシー1を特定のユーザーにだけ適用させるようにしたいと思います。

ポリシー1を選択し、右側の「委任」タブを選択します。右下の「詳細設定」をクリックします。

Authenticated Usersが読み取り可能になっているので、削除します。
※Authenticated Usersはドメインに許可されたUserの事です。要するにADに作成された全ユーザーの事です。全ユーザーが許可されているわけですね

「追加」をクリックして特定のユーザーを入力します。下の例ではuser1

下のようになっていれば成功です。user1だけがGPOを読み取ることができます。

「グループポリシーの管理」に戻ると下のようになっています。「Authenticated Users」が削除され「user1」が追加されています。

グループについても同様の手順で制御が可能です。

特定のコンピューターにだけGPOを適用する方法

さて同様にして特定のコンピューターにだけGPOを適用する方法を解説します。

今回は「ポリシー2」を利用します。右下の「詳細設定」をクリックします。

Authenticated Usersが読み取り可能になっているので、削除します。
※Authenticated Usersはドメインに許可されたUserの事です。要するにADに作成された全ユーザーの事です。全ユーザーが許可されているわけですね

デフォルトでは、ユーザーやグループを選択する事ができますが、コンピューターを選択することができません。そこで「オブジェクトの種類」からコンピューターを指定します。

オブジェクトの種類で「コンピューター」にチェックを入れます。

すると「コンピューター」が指定可能となります。下の例では「PC01」を追加しています。

「PC01」が読み取り可能となっています。

「グループポリシーの管理」に戻ると下のようになっています。「Authenticated Users」が削除され「PC01」が追加されています。

うまく活用すれば非常に効率的なOU設計が可能になります。同様の記事として下記も参考になると思います。

グループポリシー(GPO)の強制とブロック方法|GPOの適用対象制御

コメント

コメント一覧 (3件)

  • 添付画像のOU名から察するに、「特定のユーザーにだけGPOを適用する」場合は、「ユーザー単位のOU」にリンクされているGPOのセキュリティを変更するのではないでしょうか?

    • 混乱させて申し訳ありません。
      おっしゃる通りで、「コンピュータ単位のOU」ではコンピュータに対するグループポリシーを扱うのが妥当です。
      「コンピュータ単位のOU」中では、ユーザーをコントロールすべきではないですよね。
      画像のOU名は無視をしてお読みください。

コメントする

目次