この記事をご覧になられているということはご存知だと思いますが、グループポリシーはローカル、サイト、ドメイン、OUといった複数の場所に定義されています。
本記事では、複数のGPOの適用順序やGPOが競合した場合の動きを解説します。
グループポリシー(GPO)の作成と適用手順
「グループポリシーて何?」という方は「グループポリシーの作成と適用手順」Active Directoryをフル活用して端末を完全制御しちゃおう!!で細かい説明をしていますのでご参照ください。実例を用いて説明をしていますので、全くの初心者でもグルーポプリシーが自由に扱えるようになります。
グループポリシーの適用順序
コンピューターを立ち上げてログインをすると、以下の順番でRSoPが作成されコンピュータに適用されます。
RSoPとは、日本語だと「グループポリシーの結果セット」英語では「Resultant Set of Policy」と表現されます。適用された全てのポリシーを累積したかたまりがRSoPです。
「ローカルポリシー」はコンピューター毎に適応されているポリシーです。イメージがつかない方は「ローカル グループポリシーエディター」の開き方を10秒でが参考になるかと思います。
その他のポリシーについては、AD上で確認するのが分かり易いと思います。下の図で確認をしてください。
複数のグループポリシーの競合
ポリシーを全て累積していくと、ポリシーの競合が発生する可能性があります。例えば「あるポリシーにおいてローカルポリシーだと有効になっているのに、ドメインポリシーでは無効になっている」等です。
大変重要なポイントですが、GPOが競合した場合は後から処理されたポリシーで上書きされるようになっています。
よってポリシーの優先順位は、適用順序の逆で下のピラミッドのようになります。
OUポリシー(下位)が最も強いポリシーということになります。ローカルポリシーで指定してもOUポリシー(下位)で競合していいれば、OUポリシー(下位)で上書きされてしまうわけです。
下の図だとポリシー2が最強というわけです。
コメント