グループ ポリシーのループバック処理
この記事は、ユーザーが特定の組織単位のコンピューターにサインインするときに、グループ ポリシー ループバック機能を適用する問題を解決するのに役立ちます。
適用対象: Windows Server (サポートされているすべてのバージョン)
元の KB 番号: 231287
まとめ
グループ ポリシーは、ユーザーとコンピューター オブジェクトの両方が Active Directory 内のどこにあるかによって異なる方法で、ユーザーまたはコンピューターに適用されます。 ただし、場合によっては、ユーザー オブジェクトとコンピューター オブジェクトの両方の場所、またはコンピューター オブジェクトの場所に基づいてポリシーを適用することが必要な場合があります。"その場合は、グループ ポリシー ループバック機能を使用して、グループ ポリシー オブジェクト (GPO) をそれに対応して適用できます。
詳細
コンピューターごとにユーザー構成を設定するには、次の手順に従います。
- グループ ポリシー Microsoft 管理コンソール (MMC) で、 Computer 構成を選択します。
- Administrative Templates を見つけてSystemを選択し、グループ ポリシーを選択して、ユーザー グループ ポリシー ループバック処理モードの構成オプションを有効にします。
このポリシーは、このポリシーの影響を受けるコンピューターにログオンするすべてのユーザーに、コンピューターの GPO のセットを適用するようにシステムに指示します。 このポリシーは、使用されているコンピューターに基づいてユーザー ポリシーを変更する必要がある特殊な用途のコンピューターを対象としています。 たとえば、公共エリア、ラボ、教室のコンピューターなどです。
Note
ループバックは、Active Directory 環境でのみサポートされます。 コンピューター アカウントとユーザー アカウントの両方が Active Directory に存在する必要があります。 ユーザーが自分のワークステーションで作業する場合は、ユーザー オブジェクトの場所に基づいてグループ ポリシー設定を適用できます。 そのため、ユーザー アカウントが存在する組織単位に基づいてポリシー設定を構成することをお勧めします。 コンピューター オブジェクトが特定の組織単位に存在する場合、ポリシーのユーザー設定は、ユーザー オブジェクトではなくコンピューター オブジェクトの場所に基づいて適用する必要があります。
Note
ループバック ポリシーに指定されたコンピューター オブジェクトから AGP 権限と読み取り権限を拒否または削除することで、適用されるユーザー設定をフィルター処理することはできません。
通常のユーザー グループ ポリシー処理では、組織単位に配置されているコンピューターに、コンピューターの起動時に GPO が順番に適用されることを指定します。 組織単位のユーザーは、ログオン先のコンピューターに関係なく、ログオン中に GPO を順番に適用します。
場合によっては、この処理順序が適切でない場合があります。 たとえば、ユーザーが特定の組織単位のコンピューターにログオンしたときに、組織単位のユーザーに割り当てられたアプリケーションまたは発行されたアプリケーションをインストールしない場合などです。 グループ ポリシー ループバック サポート機能を使用すると、この特定の組織単位のコンピューターの任意のユーザーの GPO の一覧を取得する他の 2 つの方法を指定できます。
マージ モード
このモードでは、ユーザーがログオンすると、通常、GetGPOList 関数を使用してユーザーの GPO の一覧が収集されます。 その後、Active Directory 内のコンピューターの場所を使用して、GetGPOList 関数が再度呼び出されます。 その後、コンピューターの GPO の一覧が、ユーザーの GPO の末尾に追加されます。 これにより、コンピューターの GPO の優先順位がユーザーの GPO よりも高くなります。 この例では、コンピューターの GPO の一覧がユーザーの一覧に追加されます。
置換モード
このモードでは、ユーザーの GPO の一覧は収集されません。 コンピューター オブジェクトに基づく GPO の一覧のみが使用されます。
データ収集
Microsoft サポートからのサポートが必要な場合は、グループ ポリシーの問題に TSS を使用して Gather 情報に記載されている手順に従って情報を収集することをお勧めします。