ADにおけるグループポリシーの適用順序について
- ADにおけるグループポリシーの適用順序について解説します。
- 起動時とログイン時におけるGPOの適用順序について疑問がある方に向けて説明します。
- コンピュータの構成とユーザーの構成がどの順序で適用されるのかについて説明します。
- ベストアンサー
ADにおけるグループポリシーの適用順序について
ドメインに参加しているPCが起動後ログインした場合に、 ローカル、サイト、ドメイン、OUの順にGPOが適用されるというのはわかるのですが、混乱しているので教えてください。例えば、OUにGPOがリンクしているときに: 起動時にあたるのは、コンピュータが属しているOUにリンクされているGPOの、コンピュータの構成(GPO上部)にあたる部分だけが適用されるのでしょうか? 同様に、ログイン時に当たるのはユーザが属しているOUにリンクされているGPOの、ユーザーの構成(下部)のみでしょうか? それとも起動時およびログイン時にはそれぞれ、コンピュータの構成→ユーザーの構成の順に各々当たるのでしょうか? 基本的な質問で申し訳ありませんが、よろしくお願いします。
- piyo-maru7
- お礼率86% (445/515)
- その他(ITシステム運用・管理)
- 回答数1
- ありがとう数2
- みんなの回答 (1)
- 専門家の回答
質問者が選んだベストアンサー
そのものずばりの回答がMicrosoftのサイトにあります。 以下参照してください。 http://technet.microsoft.com/ja-jp/library/cc739061%28WS.10%29.aspx # 質問者さんの最初の推測が当たっています。
関連するQ&A
- グループポリシーが適用されません
プロキシのグループサーバが当たらずに困っています。 環境はというと、Windows 2008 R2のトップドメインのドメコンにOUを作成し、その中にセキュリティグループを作り、そのセキュリティグループの中にユーザーが入っています。 そして、サブドメコンにクライアントPCがログオンするという形をとっています。 (ユーザーはトップドメコンにいるので、どこのサブドメコンでもログオンできるようにという考えです。) そこで、トップドメインのOUにリンクするグループポリシーを作成し、 「ユーザーの構成」-「ポリシー」-「Windowsの設定」-「Internet Explorerのメンテナンス」-「接続」- 「プロキシの設定」 にプロキシの設定を記入しています。 ところが、上記の設定が適用されません。 ためしに、トップドメインのDefault Domain Policyにプロキシの設定を記入するとそれはちゃんと適用されます。 もしかしたら、OUにリンクしたグループポリシーというのはセキュリティグループでネストされるユーザーには適用されないのでしょうか? それとも全く見当違いの設定をしているのでしょうか? ぜひ、ご教示をお願いいたします。
- ベストアンサー
- Windows系OS
- GPOとグループアカウント
以下のようにOUを構築しました ドメイン |-OU:ログ吐き出しあり | |-グループ:A | |-OU:総務 | |-ユーザー:test1 | |-OU:庶務 |-ユーザー:test2、test3 「OU:総務」に、「test11ユーザー」を作成しています。 「OU:庶務」に「testユーザー2」「test3ユーザー」を作成しています。 「OU:ログ吐き出しあり」に、「test1ユーザー」「testユーザー2」が属する「グループA」 を作成しています。 「OU:ログ吐き出しあり」に、ユーザーログオン時に、ログインした時間等を吐き出すスクリプトを作成し、「名前:GPO1」の「ユーザーログオン」項目に仕込みました。 それを「OU:ログ吐き出しあり」にGPO1を適用しました。 この状態で、「test1」「test2」でログオンしたところ、 ログオンスクリプト(=GPO)が走らないのです。 当然、「OU:ログ吐き出しあり」に、「test1」「test2」を移動させると ログオンスクリプトが走りログが吐き出されます。 グループA(=グループアカウント)には、GPOは適用されないのでしょうか? グループAに適用され、グループAに属しているtestとtest2に間接的にGPOが適用されると思っていたのです。 どうしても、「test3ユーザ」には、「GPO1」を適用させたくないのです。1と2だけログを出力させたいのです。 また、可能であればOU構成は変えたくないのです。 どなたか良い解決方法をご存知の方がいらっしゃいましたら ご教授のほうよろしくお願いします。
- ベストアンサー
- Windows系OS
- OUのグループポリシーを適用させるには
例えば、ドメインのグループポリシーでパスワードのポリシーを設定して、OU単位でドメインとは異なるパスワードのポリシーを設定したいのですが、OUで設定したパスワードのポリシーが適用されません。 色々と調査した所、ドメインのグループポリシーとOUのグループポリシーの両方が設定された場合は、OUのグループポリシーが適用されると書いてあるのですが・・・。 調査内容------------------------------- (1)ローカル・コンピュータのポリシー (2)サイトのポリシー (3)ドメインのポリシー (4)親OUのポリシー (5)子OUのポリシー (1)から(5)の順序でグループポリシーが適用される。 ---------------------------------------
- ベストアンサー
- Windows系OS
- グループポリシーの適用について
グループポリシーでソフトウェアのインストールをOUに設定しました。 そのOUの中にコンピュータアカウントを入れて、該当のPCを起動しても自動インストールが開始されません。 Windowsにログイン後、コマンドプロンプトにて[GPUPDATE /FORCE]のコマンドを入力すると 再起動を要求され、再起動すると起動時にソフトウェアのインストールが開始されます。 コマンドを入力せずとも、ソフトウェアのインストールが実行されるにはどのように設定すれば良いのでしょうか。 何卒宜しくお願い致します。
- ベストアンサー
- その他(ITシステム運用・管理)
- グループポリシーの適用が出来ない
グループポリシーの適用について教えて下さい。 現在、Windows2003でアクティブディレクトリによるドメイン管理の環境を構築しているのですが、クライアントの時刻をログオン時にサーバー(ドメインコントローラー)の時刻と同期させたいのですが上手くいきません。 詳しい環境と条件・現象は以下の通りです。 ・サーバー:Windows2003(ADサーバ1台) ・クライアント:WindowsXP SP2(30台) ・ネットワークは社内で閉じている ・NTPサーバ機能はADサーバのサービス(Windowsタイムサービス)で起動。 ・クライアントのスタートアップにnet timeコマンドで時刻同期するバッチを置く。 ・ADのGPMCでデフォルトドメインポリシーの「コンピュータの構成 - Windowsの設定 - セキュリティの設定 - ローカルポリシー - ユーザー権利の割り当て - システム時刻の変更」を有効にしてグループ「everyone」を追加。 ・ログイン時にバッチが走るが「クライアントは要求された特権を保有していません」と表示され同期できない。 ・ドメインユーザアカウントに「domain admins」グループ追加すれば成功。(当然だが) 何か設定漏れがあるんでしょうか?
- 締切済み
- その他(ITシステム運用・管理)
- Win2003グループポリシーが別サイトのクライアントに適用されません
教えてください。 Windows2003で1ドメインを3つのサイトにわけ、各サイトは、NTTのグループアクセスにてVPN接続しています。 各サイトはサイトリンクを行い、各サイトにグローバルカタログサーバを配置(サイトリンク)しています。 このドメイン内のOUにグループポリシーを設定したのですが、最初にドメインコントローラを設置したサイト(元々のグローバルカタログサーバがあるサイト)内のクライアントには、グループポリシーが適用されるのですが、他のサイトのクライアントには適用されません。 グループポリシーを設定しているOUには、各サイトのクライアントとなるユーザーを設定しています。 サイトリンクが上手くできていないのでしょうか。 教えてください。宜しくお願い致します。
- ベストアンサー
- Windows系OS
- ポリシーでコンピュータの構成の部分
ActiveDirectoryでOUにポリシーをリンクさせています。 そのポリシーが摘要されるとコンピュータの構成で設定したスタートアップスクリプトが実行されるようにしているのですがコンピュータの構成の部分だけが摘要されません。 ユーザーの構成の部分は適用されます。 ・OUにはコンピュータのアイコンも存在してます。 ・ポリシーの適用結果を表示させると問題なく当たってるようです。 ・PC上でGpresult /zを実行してみると問題なく適用されているように表示されている なぜコンピュータの構成の部分だけ適用されないのでしょうか? どなたか詳しい方、ご回答お願いします。
- ベストアンサー
- ハードウェア・サーバー
- Active Directoryのグループポリシーについて質問です。
Active Directoryのグループポリシーについて質問です。 環境は、Windows 2008 R2です。 グループポリシーでは、「コンピューターの構成」と「ユーザーの構成」を 一つのポリシーに含められます。 上記の両方共を設定したグループポリシーを、 ユーザーのみを配下に持つ(コンピューターは配下にない)OUにリンクした場合、 「コンピューターの構成」は、使われない事になるのでしょうか?
- ベストアンサー
- Windows系OS
- OUを移動してもポリシーが変わらない
Windows2003でActiveDirectoryを構築しておりますが、挙動が判らないことがあり、 経験者の皆さまのお知恵を拝借したく存じます。 ドメイン参加しているPCのアカウントのポリシーを変更する際に、 「ActiveDirectoryユーザーとコンピュータ」の画面で、USR2というOUに所属しているアカウントを ドラッグ&ドロップしてUSR1というOUに移動させました。 USR1とUSR2はUSRという階層の下にあり、USRはALLというドメインの配下にあります。 ここで、USR2に対して設定してあるGPO(Windowsの設定-IEのメンテナンス-接続/プロキシの設定)がUSR1に移動させた後も外れない状態になってしまっています。 PCを何度もログアウトしたり、再起動しても同じです。 また、そのGPOは同じレベルのUSR1及び上の階層のOUでも使用していません。 このユーザーは色々なソフトをインストールしてあるので、アカウントを作り直す訳には いかないので困っています。 こうしたGPOによる設定内容をリフレッシュする方法はあるのでしょうか? よろしくお願い致します。
- 締切済み
- Windows系OS
- ActiveDirectoryのグループポリシーの設定について質問です
ActiveDirectoryのグループポリシーの設定について質問です。 InternetExplorer(IE)のセキュリティゾーン(イントラネット)を変更して ドメインに参加しているクライアントPCのIEのセキュリティゾーンの設定をコントロールしたいのですが、 以下の手順で行った限りではまったく反映されていないようです。 ・GPOの[ユーザーの構成]-[Windows の設定]-[Internet Explorerのメンテナンス]より セキュリティの変更(イントラネットの未署名のActiveXを有効 ・上記のGPOを指定のOUへ設定 ・クライアントPCから上記ドメインにログオン(指定OU内のユーザ) ・IEを起動 → ツール→インターネットオプション→セキュリティを確認 →変化なし ActiveDirectoryのサーバ:windows2008server クライアントPC:windows2000 SP4、IE6 SP1 ちなみにやりたいことは、イントラネット上のサイトでVBSを使用しており、そこからExcelマクロを 実行しているのですが、その際に未署名のActiveXがデフォルトのセキュリティでは弾かれてしまうのを ユーザのオペレーションなく有効にしたいのです。 どんなことでも構いませんので、何かご存知の方いらっしゃいましたら、よろしくお願いします。
- ベストアンサー
- その他(ITシステム運用・管理)
お礼
やはりそうでしたか。GPOの構成要素すべてが当たってしかるべきだ、と思っていましたが実験してみたところ片方しか当たっていなかったので、真相についての確信がもてず混乱していました。 起動時に当たるGPOは、ユーザー構成部の中身が完全無視されるんですね。 これを回避するにはループバックで強制的にと。ああ、スッキリしました。 参考リンクまで用意していただきありがとうございました。 本当に助かりました。