次の方法で共有

グループ ポリシーの処理

既定では、グループ ポリシーは継承され累積され、Active Directory (AD) コンテナーとその子のすべてのコンピューターとユーザーに影響します。 コンピューター関連のポリシー設定は、ユーザー関連のポリシー設定をオーバーライドします。

グループ ポリシー オブジェクト (GPO) は、次の順序で処理されます。

  1. ローカル GPO が適用されます。
  2. サイトにリンクされた GPO が適用されます。
  3. ドメインにリンクされている GPO が適用されます。
  4. 組織単位 (OU) にリンクされている GPO が適用されます。 入れ子になった OU 構造では、親 OU にリンクされている GPO が最初に適用され、その後に子 OU にリンクされた GPO が適用されます。

ヒント

以降の各ポリシー アプリケーションは、以前のポリシーによって適用された設定をオーバーライドできるため、GPO 処理のシーケンスが重要です。

既定の継承方法では、最上位の親 AD コンテナーから始まるグループ ポリシーを評価します。 コンピューターまたはユーザーに最も近い AD コンテナーは、上位レベルの AD コンテナーで設定されたグループ ポリシーをオーバーライドします。 その GPO リンクの適用オプションを設定した場合、またはブロックの継承設定が適用されている場合、継承は無視されます。 ローカル グループ ポリシーは、ドメイン ベースのポリシーの前に処理されます。 AD コンテナーにリンクされている GPO のポリシー設定は、ローカル ポリシー設定をオーバーライドします。

複数の GPO を 1 つの AD コンテナーにリンクできます。 グループ ポリシー オブジェクト リンクの一覧のリンク順序が最も低い GPO リンクは、既定で優先されます。

グループ ポリシーの処理のしくみ

コンピューター設定のグループ ポリシーは、コンピューターの起動時に適用されます。 グループ ポリシーは、ユーザーのログオン時に適用されます。 このポリシーの初期処理は、フォアグラウンド ポリシー アプリケーションとも呼ばれます。

グループ ポリシーのフォアグラウンド処理は、同期または非同期にすることができます。 同期モードでは、コンピューター ポリシーが正常に適用されるまで、コンピューターはシステムの起動を完了しません。 ユーザー のログオン プロセスは、ユーザー ポリシーが正常に適用されるまで完了しません。 非同期モードでは、同期処理を必要とするポリシーの変更がない場合、コンピューター はコンピューター ポリシーの適用が完了する前に開始シーケンスを完了できます。 非同期モードの場合、ユーザー ポリシーの適用が完了する前に、デスクトップをユーザーが使用することもできます。 その後、システムはバックグラウンドでグループ ポリシーを定期的に適用 (更新) します。 更新中、ポリシー設定は非同期的に適用されます。

すべてのポリシー処理は、60 分以内に完了する必要があります。 このタイムアウト期間を変更する方法はありません。

グループ ポリシー (フォアグラウンド ポリシー アプリケーションとも呼ばれます) の初期処理後、システムは定期的にグループ ポリシーをバックグラウンドで適用 (更新) します。 更新中、ポリシー設定は非同期的に適用されます。

既定では、更新は 90 分ごとに行われます。 システムは、更新間隔に最大 30 分のランダムな時間を追加する場合があります。 これらの既定値は、管理用テンプレート拡張機能のグループ ポリシー設定を使用して、グループ ポリシーに変更できます。 この値を 0 分に設定すると、リフレッシュ レートが 7 秒に設定されます。 バックグラウンド更新中にすべてのグループ ポリシー拡張機能が処理されるわけではありません。 たとえば、フォルダー リダイレクト処理は、ユーザーがログオンしたときにのみ行われます。 また、ソフトウェア インストール ポリシーの処理は、コンピューターの起動時とユーザーのログオン時にのみ行われます。

システムはバックグラウンド更新中にグループ ポリシーのスクリプト拡張機能を処理しますが、個々のスクリプトは、コンピューターの起動とシャットダウン、およびユーザーのログオンとログオフ時にのみ実行されます。

ポリシーの更新中、既定では、クライアント側拡張機能は、GPO の 1 つまたは GPO の一覧への変更を検出した場合にのみ、ポリシー設定を再適用します。 この動作は、パフォーマンス上の理由から発生します。

適用される GPO

ユーザーまたはコンピューターの特定のグループに対して常に適用する必要があるポリシー設定があるかどうかを判断します。 これらのポリシー設定を含む GPO を作成し、適切なサイト、ドメイン、または OU にリンクし、これらのリンクを適用として指定します。 このオプションを設定することで、下位レベルの AD コンテナー内の GPO が上位レベルの GPO のポリシー設定をオーバーライドできないようにし、上位レベルのポリシーをより強力に適用できます。 たとえば、ドメイン レベルで特定の GPO を定義し、適用オプションを設定した場合、GPO に含まれるポリシーは、そのドメインのすべての OU に適用されます。 下位レベルの OU にリンクされている GPO は、適用されたドメイン グループ ポリシーをオーバーライドできません。 複数の GPO が同じサイト、ドメイン、または OU でリンクされていて、適用オプションが設定されている場合は、適用する GPO リンクの最も高い設定が優先されます。

継承をブロックする

グループ ポリシー管理コンソール (GPMC) における「ポリシーの継承をブロック」または「継承をブロック」とは、グループ ポリシーの処理順序に影響を与える機能を指します。 AD の各ドメインと OU には GPOptions 属性があり、継承をブロックするように構成できます。 これにより、ローカル、サイト、ドメイン、および上位の OU レベルで適用されたポリシー設定が OU 内のコンピューターまたはユーザーに影響を与えるのを停止します。 ただし、継承がブロックされると、ほとんどの設定が OU に適用されなくなりますが、適用されたオプションを使用して GPO によって適用される設定には影響しません。 適用はリンク プロパティであり、ブロック ポリシーの継承 (コンテナー プロパティ) よりも優先されます。

ドメインにリンクされているポリシー設定は、通常、親 OU に関係なく、ドメイン内のすべてのコンピューターとユーザーに適用されます。 GPMC を使用すると、ドメインまたは OU での継承をブロックして、通常のグループ ポリシー設定の適用を停止できます。 ドメイン レベルで継承をブロックすると、AD サイトにリンクされている GPO の設定がドメインに適用されなくなりますが、OU レベルでブロックすると、サイトとドメインにリンクされた GPO の設定がそれらの OU に影響を与えるのを防ぐことができます。

継承のブロックに加えて、次の手順を実行します。

  • GPO 自体は完全に無効にすることができます
  • GPO のコンピューター設定を無効にできます
  • GPO のユーザー設定を無効にすることができます
  • GPO のすべての設定を無効にすることができます

グループ ポリシー設定のクライアント側拡張機能

グループ ポリシー基本設定クライアント側拡張機能には、独自の一意の処理方法があります。 1 つの GPO 内で、特定のグループ ポリシー基本設定拡張機能を処理するように 1 つ以上の基本設定項目を構成できます。 たとえば、1 つの GPO に複数の ドライブ マップ基本設定項目を 含めることができます。

グループ ポリシーの処理中に、インフラストラクチャは一連の拡張機能を循環します。 各拡張機能について、変更された GPO の一覧や、ユーザーまたはコンピューターに適用できなくなった GPO の一覧を含む重要な情報が提供されます。 インフラストラクチャでは、ネットワーク接続が低速と見なされるかどうかなど、コンテキスト固有の詳細も共有されます。 グループ ポリシー基本設定拡張機能は、変更された GPO とスコープ外の GPO に関する情報を使用してその設定を処理します。

クライアント側拡張機能は、リストの上部から下部まで、基本設定項目を順番に処理します。 各基本設定項目の処理の結果は、構成されたアクションによって異なり、項目レベルのターゲット設定によって項目が適用されない場合があります。 拡張機能は、リストが完了するか、このアイテムで エラーが発生した場合にこの拡張機能の項目の処理を停止 するなどの構成設定のために停止するか、または 1 回適用して再適用しないまで、各項目を処理します。 すべての基本設定項目が処理されると、コントロールはグループ ポリシー サービスに戻ります。

グループ ポリシー フィルタリング

セキュリティフィルターまたは Windows Management Instrumentation (WMI) フィルターを使用して、GPO の適用可否を絞り込むことができます。

セキュリティ フィルターを使用すると、GPO で受け取るユーザーとコンピューターを絞り込み、ポリシー設定を適用できます。 セキュリティ グループのフィルター処理は、GPO がグループ、ユーザー、またはコンピューターに適用されるかどうかを決定します。 GPO 内の異なるポリシー設定では、セキュリティ グループのフィルター処理を選択的に使用することはできません。

WMI を使用すると、WMI クエリを使用してグループ ポリシーのアプリケーションをフィルター処理できます。 WMI フィルターを使用する場合、GPO は WMI クエリの条件を満たすセキュリティ プリンシパルに適用されます。 各 GPO は、1 つの WMI フィルターにリンクできます。ただし、同じ WMI フィルターを複数の GPO にリンクできます。 WMI フィルターを GPO にリンクする前に、フィルターを作成する必要があります。 WMI フィルターは、グループ ポリシーの処理中に対象コンピューターで評価されます。 GPO は、WMI フィルターが true と評価された場合にのみ適用されます。

ループバック処理モード

ループバック処理モードでは、ログオンするユーザーに関係なく、コンピューターに割り当てられたグループ ポリシー オブジェクトのユーザー構成設定が適用されます。 ループバック処理は、ユーザーに割り当てられた GPO のユーザー設定をマージまたは置き換えます。 このポリシー設定は、教室、パブリック キオスク、受信エリアなど、特殊な用途のコンピューターを備えた特定の密接に管理された環境で適しています。

たとえば、特定のサーバーでこのポリシー設定を有効にして、使用しているコンピューターに基づいてユーザー設定を調整できます。 ループバック処理モード ポリシー設定を有効にすると、サインインするユーザーに関係なく、コンピューターの構成に基づいてユーザー ポリシー設定が適用されます。 これにより、コンピューターの GPO で定義されているように、コンピューター上のすべてのユーザーに対して一貫したユーザー ポリシー設定が保証されます。

GPO でループバック処理ポリシー設定を有効にすると、サインインするコンピューターに基づいてユーザー ポリシー設定を構成できます。 ループバック処理を行わない場合、コンピューター オブジェクトを適用する GPO は、コンピューターの構成設定のみを処理します。 ユーザーに適用される GPO は、ユーザー構成設定のみを処理します。 ループバック処理モードのポリシー設定を有効にする場合は、GPO のコンピューター構成とユーザー構成の両方の設定が有効になっていることを確認する必要があります。 これらのポリシー設定は、ログオンしているユーザーに関係なく適用されます。

ループバック ポリシー設定を構成するには、GPMC を使用して GPO を編集し、[コンピューターの構成]、[ポリシー]、[管理用テンプレート]、[システム]、[グループ ポリシー] の [ユーザー グループ ポリシー ループバック処理モードの構成] ポリシー設定を有効にします。 次の 2 つのオプションを使用できます。

  • マージ モード: このモードでは、ログオン プロセス中にユーザーの GPO の一覧が収集されます。 次に、コンピューターの GPO の一覧が収集されます。 次に、コンピューターの GPO の一覧がユーザーの GPO の末尾に追加されます。 その結果、コンピューターの GPO はユーザーの GPO よりも優先順位が高くなります。 ポリシー設定が競合する場合、コンピューターの GPO のユーザー ポリシー設定は、ユーザーの通常のポリシー設定ではなく適用されます。

  • 置換モード: このモードでは、ユーザーの GPO の一覧は収集されません。 代わりに、コンピューター オブジェクトに基づく GPO の一覧のみが使用されます。 この一覧のユーザー構成設定がユーザーに適用されます。

グループ ポリシーの更新

グループ ポリシーを更新するための主要なメカニズムは、起動時とログオン時です。 グループ ポリシーは、他の間隔でも定期的に更新されます。 ポリシーの更新間隔は、GPO への変更が適用される速度に影響します。 既定では、クライアントとサーバーは、最大 30 分のランダム化されたオフセットを使用して、90 分ごとに GPO への変更を確認します。 GPO の変更は最初に適切なドメイン コントローラーにレプリケートする必要があるため、グループ ポリシー設定の変更をユーザーのデスクトップですぐに使用できない場合があります。

ドメイン コントローラーは、コンピューター ポリシーの変更を 5 分ごとに確認します。 このポーリング頻度は、これらのポリシー設定、コンピューターのグループ ポリシー更新間隔、ドメイン コントローラーのグループ ポリシー更新間隔、またはユーザーのグループ ポリシー更新間隔のいずれかを使用して変更できます。 ネットワーク トラフィックが増加し、ドメイン コントローラーに負荷が増加する可能性があるため、更新の間隔を短くすることはお勧めしません。

GPO のコンポーネントは、AD とドメイン コントローラーの SYSVOL フォルダーの両方に格納されます。 GPO から他のドメイン コントローラーへのレプリケーションは、次の 2 つの独立したメカニズムによって行われます。

  • 組み込みのレプリケーション システムは、AD のレプリケーションを制御します。 既定では、レプリケーションは通常、同じサイト内のドメイン コントローラー間で 1 分未満かかります。 ネットワークの速度が LAN よりも遅い場合、このプロセスは遅くなる可能性があります。

  • 分散ファイル システム レプリケーション (DFSR) は、SYSVOL フォルダーのレプリケーションを制御します。 サイト内では、レプリケーションは 15 分ごとに行われます。 ドメイン コントローラーが異なるサイトにある場合、レプリケーション プロセスはサイト トポロジとスケジュールに基づいて設定された間隔で実行され、最も低い間隔は 15 分です。

グループ ポリシーの更新をトリガーする

必要に応じて、次の方法でグループ ポリシーの更新を手動でトリガーできます。

  • ローカル コンピューターから、コマンド ラインから「 gpupdate.exe 」と入力します。 gpupdate.exe実行すると、コマンドが実行されているコンピューターのポリシー更新がトリガーされます。

  • Invoke-GPUpdate PowerShell コマンドレットを使用します。 このコマンドレットを使用すると、ローカル コンピューターの更新をトリガーしたり、リモート コンピューターの更新をトリガーすることができます。

  • GPMC を使用して OU レベルでグループ ポリシーの更新をトリガーするには、OU を右クリックし、[ グループ ポリシーの更新] を選択します。

GPO の処理を最適化する

GPO の処理に必要な時間を短縮するには、次の使用を検討してください。

  • GPO にコンピューター構成またはユーザー構成設定のみが含まれている場合は、適用されないポリシー設定の部分を無効にします。 この最適化により、対象のコンピューターは無効にする GPO の部分をスキャンしないため、処理時間が短縮されます。

  • 小規模な GPO を組み合わせて、統合 GPO を形成します。 この最適化により、ユーザーまたはコンピューターに適用される GPO の数が減ります。 ユーザーまたはコンピューターに適用する GPO の数を減らすと、起動またはログオン時間が短縮され、ポリシー構造のトラブルシューティングが容易になります。