はじめに
Azure上でADサーバ構築をしながら、GPOについて勉強する機会がありましたので備忘録として残します。
構築手順などは一切なく、概念の理解が中心となります。
GPOとは
ADサーバもしくはファイルシステムにおけるポリシーの設定のことを指す。コンピュータが起動した時にこの設定が適用される。基本的にはGPOの設定を変更したら変更されてから一定時間以内にコンピュータ側にも設定が反映される。
また、ポリシーにはコンピュータに適用する設定と、ユーザに適用する設定があり、コンピュータとユーザの設定ではコンピュータの設定が勝つ(上書きする)
また、サイト、ドメイン、OUの単位で設定が可能。どの単位でGPOを適用するかは事前に検討しておく必要がある。
処理順番
以下の順番で適用
- ローカルグループポリシー
- サイトにリンクされているGPO
- ドメインにリンクされているGPO
- 組織単位(OU)にリンクされているGPO
※ローカルグループポリシーはADサーバ上でなく、コンピュータに自前で設定したもの
順番に処理されるものの、あとから適用したGPOが上書きする仕組みになっている。
詳細は以下サイトより
こんな場合は?
OUの配下にOUがあった場合
親OUと子OUそれぞれにGPOを適用
どちらが優先されるか?
⇒子OUが優先
サイトやドメインから継承されるGPOを拒否できないのか
⇒できる
継承を拒否する設定が可能
サイトに設定したGPOを下位に強制することは?
⇒強制設定が可能
強制と継承拒否ってどっちが優先?
⇒強制が優先
信頼関係、親子関係があるときは?
⇒それぞれで割り当てたGPOがあり、それぞれドメインに適用していたとしたらそのままそれぞれのGPOが保持される
※「フォレスト間のユーザー ポリシーおよび移動ユーザー プロファイルを許可する」を有効化すると垣根を超えることも可
分かりやすいサイトを見つけたので以下に貼っておきます。
まとめ
GPOは柔軟に設定を駆使することで、様々な制御ができます
しかし、ドメインが複数存在したりすると一気に複雑になりますのでこの場合どうなるのか?と悩むことが多かったので整理してみました。
少しでも参考になると幸いです。
何か間違えている点があれば優しく教えていただけると嬉しいです。