[Windows技術解説]グループ・ポリシーのしくみ ―― 統一的なクライアント管理を実現するActive Directoryグループ・ポリシーを知る ―― 第6回 リンクの継承と優先度およびフィルタ機能1.リンクの継承と優先度畑中 哲2006/08/24 |
|
|
|
|
|
Index
|
||||||||||||||
|
前回は、Active Directory環境におけるグループ・ポリシーについて解説した。Active Directory環境であっても、スタンドアロンのコンピュータで利用されるローカル・グループ・ポリシー(LGPO)と仕組みや働きは同じであり、ただ、その保存場所が異なるというだけであった。LGPOの場合は、GPO(グループ・ポリシー・オブジェクト)やGPT(グループ・ポリシー・テンプレート)はローカル・コンピュータ上に保存されているが、Active Directoryの場合はドメイン・コントローラのSYSVOL共有上に保存され、それがドメイン内のコンピュータで共有されている。もう1つの重要な違いとして、Active Directory環境では、Active Directoryのコンテナ(サイト、ドメイン、OU)ごとにGPOが存在し、それら複数のGPOが組み合わされて利用されるという点が挙げられる。複数のGPOが利用されるため、どれが先に適用されるかによって、結果が異なることが予想されるが、今回はそのグループ・ポリシーの継承や優先度などについて解説する。
■
リンクの継承
Active Directory上では、GPO(グループ・ポリシー・オブジェクト)のリンク先はコンテナだが、GPOの最終的な適用対象はコンピュータとユーザーである。そのコンピュータとユーザーは、Active Directoryの階層構造の中の複数のコンテナに含まれる。
| Active Directoryの階層構造とGPOのリンク例 |
| フォレスト、サイト、ドメイン、OU(組織単位)といったコンテナがあり、「OU 3」内には「コンピュータ」と「ユーザー」が存在する。コンテナには「GPO a」〜「GPO f」がリンクしている。 |
例えば、図の右下にある「コンピュータ」は、以下のコンテナに含まれると考えられる(ディレクトリの厳密な階層構造とは異なるが、直感的にはこのようになるだろう)。
| コンテナ | リンクされているGPO |
| フォレスト | なし |
| サイト(該当のネットワークにいる場合) | GPO b |
| 子ドメイン | GPO c |
| OU 1 | GPO d |
| OU 3 | GPO f |
| 適用されるGPOの例 | |
| 上の図における「コンピュータ」に対して適用されるGPO。上位階層にあるコンテナにリンクされているGPOがすべて適用される。 | |
この「コンピュータ」には、これらの上位階層のコンテナにリンクされているGPOがすべて適用されるが、いくつか注意点がある。
-
GPOがリンクできるのはサイト、ドメイン、OUであり、フォレストにリンクされるGPOはない。
-
サイトにリンクされているGPOは常に適用されるわけではなく、そのサイトに該当するネットワークに入っている場合にだけ適用される(GPO bは、コンピュータがサイトに入っているときだけ適用される)。
-
ドメインの親子関係は、グループ・ポリシーでは階層と見なされず、親ドメインにリンクされているGPOは子ドメインには適用されない(GPO aは適用されないということ)。なお、ほかのドメインのGPOと明示的にリンクすることはできる(もしGPO aが子ドメインにもリンクしていたら、コンピュータにはGPO aも適用される)。しかし、複雑性やパフォーマンスの問題があるので、避けるべきである。
-
上位階層に当たるコンテナでも、親子関係にないコンテナにリンクされているGPOは適用されない(OU2のGPO eは適用されない)。
従って「コンピュータ」に適用されるのは、GPO b、c、d、fとなる。
このように、上位コンテナにリンクされているGPOが下位コンテナへと受け継がれて適用対象となることを「継承」と呼ぶ。
そして、LGPO(ローカルGPO)は常にリンクしていると考えるので(LGPOのリンクについては連載第2回「ローカル・グループ・ポリシー・オブジェクト(LGPO)」参照)、このコンピュータに適用されるGPOを総合すると、LGPOと、Active Directoryの上位コンテナから継承したGPO(b、c、d、f)ということになる。
コンテナ間の優先度
LGPOと、上位コンテナから継承したGPOとを合わせると、1つのコンピュータ/ユーザーに複数のGPOが適用されることになる。コンピュータ/ユーザーには、それらすべてを合わせたポリシーが適用される。もし同じポリシーに対して複数のGPOが異なる設定をしていたら、以下の方針で解決される。
-
ローカルよりActive Directoryが優先される。
-
Active Directory内では、コンピュータ/ユーザーに近いコンテナが優先される。
従って、優先度は、高い順に次のようになる。
| リンク先 | GPO | |
|
1
|
コンピュータに近いOU | GPO f |
|
2
|
コンピュータに遠いOU | GPO d |
|
3
|
ドメイン | GPO c |
|
4
|
サイト | GPO b |
|
5
|
ローカル・コンピュータ | LGPO |
| コンテナ間の優先度 | ||
| 先の図における「コンピュータ」に対して適用されるGPOの優先度。上にあるものほど優先度が高い。 | ||
実際にグループ・ポリシーを計画/運用するに当たっては、優先度だけで考えるよりも、処理の順番という考え方をする方が分かりやすいことが多い。つまり、優先度の低いGPOから順番に処理され、処理のたびに上書きしていくと考える。
| 処理順 | リンク先 | GPO |
|
1
|
ローカル・コンピュータ | LGPO |
|
2
|
サイト | GPO b |
|
3
|
ドメイン | GPO c |
|
4
|
コンピュータに遠いOU | GPO d |
|
5
|
コンピュータに近い OU | GPO f |
| GPOの処理順序 | ||
| GPOの優先度は、GPOの処理順序(適用順序)と考えると分かりやすい。優先度の低いGPOが先に処理され、優先度の高いGPOが後から処理される。これにより、優先度の高いGPOの内容が効果を持つことになる。 | ||
この処理順(Local、Site、Domain、OU)は、しばしば、英語の頭文字から「LSDOU」と呼ばれる。ぜひ覚えておきたい。
具体例をいくつか挙げておこう。各GPOで、管理用テンプレートの同一のポリシーが設定されている場合、コンピュータ上で最終的に適用されるポリシー設定は以下のようになる。
| 処理順 | リンク先 | GPO | 例1 | 例2 | 例 3 |
|
1
|
ローカル・コンピュータ | LGPO | 有効 | 未構成 | 未構成 |
|
2
|
サイト | GPO b | 有効 | 未構成 | 未構成 |
|
3
|
ドメイン | GPO c | 有効 | 無効 | 未構成 |
|
4
|
コンピュータに遠いOU | GPO d | 有効 | 有効 | 未構成 |
|
5
|
コンピュータに近いOU | GPO f | 無効 | 未構成 | 未構成 |
|
最終的に適用されるポリシー
|
無効 | 有効 | 未構成 | ||
| GPOとその適用結果の例 | |||||
| 先の画面のGPOで、あるポリシー(すべて同じもの)を設定した場合、最終的にどのようになるかを示した例。例えば例1では、1〜4のGPOで「有効」にし、5では「無効」にしている。この場合、最終的には、最後にある5のポリシーが適用され、「無効」となる。管理用テンプレートのポリシーの「有効/無効/未構成」の違いについては、連載第3回「グループ・ポリシーの設定例」を参照のこと。 | |||||
例えば例2の場合では、次のような順序で処理される。
| 処理順 | 処理するGPO | 処理内容 | 処理が終わった段階でのポリシー設定 |
|
1
|
LGPO | GPOのポリシー(未構成)が読み込まれる | 未構成 |
|
2
|
GPO b | GPO のポリシーは未構成なので、1つ前の段階でのポリシーを変更しない | 未構成 |
|
3
|
GPO c | GPOのポリシー(無効)で上書き | 無効 |
|
4
|
GPO d | GPOのポリシー(有効)で上書き | 有効 |
|
5
|
GPO f | GPO のポリシーは未構成なので、1つ前の段階でのポリシーを変更しない | 有効 |
| 例2の場合の処理内容 | |||
| 複数の優先度のGPOが存在する場合、このような処理を経て、最終的な設定が決まる。 | |||
このような処理を経て、最終的に「有効」というポリシーを適用することが決まる。
こうして最終的に適用するポリシーが決まったら、その適用は、LGPOしかない場合と同じである。管理用テンプレートCSEは、この最終的に決まったポリシーに基づいて、レジストリ値をセットしたり削除したりする。グループ・ポリシーの適用については、連載第4回「グループ・ポリシーの適用」を参照していただきたい。
特殊な扱いを受けるセキュリティ・ポリシー
このように継承と優先度の原則が定められているのだが、実は、この原則どおりに動作するかどうかは、グループ・ポリシーの拡張(extension)しだいである(詳細については連載第2回「グループ・ポリシーの『拡張』」参照)。
継承と優先度の原則から外れた拡張としては、セキュリティ・ポリシーの拡張がある。Active Directoryでは、ドメイン・アカウントに対するセキュリティ・ポリシーは、ドメイン・コンテナにリンクされたGPOからしか適用されない。
同一コンテナに対する複数リンクの優先度
1つのコンテナには複数のGPOをリンクすることができる。
| コンテナとGPOの複数のリンク |
| この図では、リンクを線で表している。「全社用ポリシー」GPOは「総務部」OUにも「営業部」OUにもリンクしている。「営業部」OUには「全社用ポリシー」GPOと「営業部用ポリシー」GPOの2つがリンクしている。このように、Active Directoryでは、1つのGPOを複数のコンテナにリンクすることもできるし、1つのコンテナに複数のGPOをリンクすることもできる。 |
1つのコンテナに複数のGPOがリンクしている場合は、そのコンテナに対するリンクの優先度を決めることができる。
| 同一コンテナに対する複数リンク | |||||||||
| 一つのコンテナに複数のリンクがある場合は、そのコンテナに対するリンクの優先度を決める。 | |||||||||
|
GPOを選択し、[上へ]をクリックすると、そのGPOとこのコンテナとのリンクの優先度が高くなる。[下へ]をクリックすると、低くなる。
この画面では、「全社用ポリシー」の方が「営業部用ポリシー」より優先度が高い。処理順でいえば、「営業部用ポリシー」→「全社用ポリシー」という順で処理される。
優先度と処理順、そして最終的に適用されるポリシーの決定は、すでに説明したコンテナ間の優先度と処理順と同じだ。上の画面のGPOで管理用テンプレートのポリシーが次のように設定されている場合、「営業部」コンテナに適用されるポリシー設定はこのようになる。
| 処理順 | GPO | 例1 | 例2 | 例3 |
|
1
|
営業部用ポリシー | 有効 | 有効 | 未構成 |
|
2
|
全社用ポリシー | 無効 | 未構成 | 未構成 |
| コンテナに適用されるポリシー | 無効 | 有効 | 未構成 | |
| ポリシーの適用例 | ||||
| ポリシーがこのように設定されている場合、「営業部」コンテナに適用されるポリシーはこのようになる。 | ||||
| INDEX | ||
| [Windows技術解説]グループ・ポリシーのしくみ | ||
| 第6回 リンクの継承と優先度およびフィルタ機能 | ||
| 1.リンクの継承と優先度 | ||
| 2.継承のブロックと上書き禁止 | ||
| 3.フィルタ機能とデフォルトのGPO | ||
| 基礎解説 |
ホワイトペーパー(TechTargetジャパン)
- 第206話 バナー広告案 (2010/2/2)
いまどきWebマーケティングが不可欠なのは分かるが、強烈な競合に並べてバナーなんか出して、勝ち目はあるのか? - WindowsTIPS (2010/1/29)
− Win 7/Server 2008 R2でクイック起動バーを利用する
− コントロールパネルの管理機能の一覧リンクを作成する
− Win OSでサポートされている最大物理メモリサイズは? - 強化されたIIS 7.5(前編) (2010/1/28)
2008 R2のIIS 7.5の強化点を解説。Server CoreにおけるASP.NETのサポートやPowerShell用IISコマンドレット/監査機能の充実など - 第205話 不信うずまくオフィス (2010/1/26)
何か集中してやってるようだが、あいつのことだ、どうせまたネットの私的利用にきまってる。まったく困ったもんだ……
|
|
スキルアップ/キャリアアップ(JOB@IT)
スポンサーからのお知らせ
- - PR -
| 【CTC事例】約30の基幹システムを統合! 膨大なバッジジョブを制御した方法は? New! |
| 「どこでもオフィス」で業務効率アップ! PHP研究所モバイルシンクライアント事例 New! |
| コスト削減・信頼性向上をまとめて満たす “高信頼Linux”を構築する方法とは? New! |
| 仮想化環境の構築手法を詳しく解説! 失敗しないVMware仮想化環境構築セミナー New! |
| 世界に通用するストレージの作り方とは? 製品に込めた思いを富士通の開発者に聞く New! |
| DBアーキテクトを目指すなら、トムに聞け Oracle Databaseをデザインする男が来日 |
| 40Gbpsという圧倒的パフォーマンスで実現 余裕の仮想セキュリティサービスとは? |
| 急速に広がるHyper-Vでのサーバ仮想化 そのベストプラクティスをデルが解説 |
| @IT「Windows 7」 特設サイトオープン! 最新情報・移行ノウハウを公開しています |
- - PR -
お勧め求人情報
**先週の人気講座ランキング**
〜CCNA編〜
| ◆ | 仮想化すればコストは削減できるか? 仮想化に必要な「3つの視点」を解説する New! |
| ◆ | セキュリティを知り尽くす上野氏が登壇! @ITメールソリューションLive! in Tokyo New! |
| ◆ | 運用管理の課題を“2つの観点”から分析 ユーザー満足度の高い「仮想環境」とは? New! |
| ◆ | 仮想化を導入したいが、問題が山積み…… 失敗しない仮想化環境の構築手法とは? |
| ◆ | 世界に通用するストレージの作り方とは? 製品に込めた思いを富士通の開発者に聞く |
| ◆ | OSSで手間も時間も、障害も減った―― 「マピオンの事例」オープンソース活用法 |
| ◆ | “知る人ぞ知る”DBのカリスマが初来日 彼と「直接話せるチャンス」を逃すな! |
| ◆ | 「ノートPCの持ち出し禁止」で大丈夫? 情報漏えいを防ぐ管理手法とインフラは? |
| ◆ | 1日の処理を1秒に――MySQLの達人が語る 「コスト削減」できるチューニング |
| ◆ | ドキュメント作成を自動化して、SEの作業 効率を大幅アップ! Visio 2007の魅力 |
| ◆ | 急速に広がるHyper-Vでのサーバ仮想化 そのベストプラクティスをデルが解説 |
| ◆ | @IT主催セミナーで語られた、「担当者に 求められるセキュリティ対策」をレポート |
| ◆ | SJI◆営業拠点を中国そしてアジアに拡大 オフショア開発を超えた最先端のSIerの姿 |
| ◆ | @IT「Windows 7」 特設サイトオープン! 最新情報・移行ノウハウを公開しています |
ソリューションFLASHPR
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」「BARKS」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。