ドメイン コントローラーのアプリケーション 規則をグループ ポリシーする

この記事では、ドメイン コントローラーのグループ ポリシー アプリケーション規則について説明します。

適用対象: Windows Server 2012 R2
元の KB 番号: 259576

概要

ドメイン コントローラーは、ドメインのルートにリンクされているグループ ポリシー オブジェクトからのみ、一部のセキュリティ設定をプルします。 ドメイン コントローラーはドメインに対して同じアカウント データベースを共有するため、すべてのドメイン コントローラーで特定のセキュリティ設定を一様に設定する必要があります。 これにより、ログオンに使用するドメイン コントローラーに関係なく、ドメインのメンバーに一貫性のあるエクスペリエンスが提供されます。 Windows 2000 では、グループ ポリシーの特定の設定のみをドメイン レベルのドメイン コントローラーに適用できるようにすることで、このタスクを実行します。 このグループ ポリシーの動作は、メンバー サーバーとワークステーションで異なります。

次の設定は、グループ ポリシーがドメイン コンテナーにリンクされている場合にのみ、Windows 2000 のドメイン コントローラーに適用されます。

• コンピューターの構成/Windows 設定/セキュリティ設定/アカウント ポリシーのすべての設定 (これには、すべてのアカウント ロックアウト、パスワード、Kerberos ポリシーが含まれます)。

• コンピューターの構成/Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプションの次の 3 つの設定:

  • ログオン時間の有効期限が切れたときにユーザーを自動的にログオフする
  • 管理者アカウントの名前を変更する
  • ゲスト アカウントの名前を変更する

次の設定は、グループ ポリシーがドメイン コンテナーにリンクされている場合にのみ、Windows Server 2003 ベースのドメイン コントローラーに適用されます。 (設定は 、コンピューターの構成/Windows 設定/セキュリティ設定/ローカル ポリシー/セキュリティ オプションにあります)。

• アカウント: 管理者アカウントの状態
• アカウント: ゲスト アカウントの状態
• アカウント: 管理者アカウントの名前を変更する
• アカウント: ゲスト アカウントの名前を変更する
• ネットワーク セキュリティ: ログオン時間の有効期限が切れたときに強制的にログオフする

詳細

ドメイン コントローラーはドメイン コントローラー組織単位から別の組織単位に移動できるため、グループ ポリシー オブジェクトのこれらの設定はドメイン コントローラー組織単位には適用されません。 ドメイン コンテナーを使用すると、ドメイン コンテナーが存在する組織単位に関係なく、これらの設定を適用できます。

ドメイン コントローラーにこれらの設定を適用するプロセスには、次のものが含まれます。

• ドメイン コントローラーは、ドメイン コントローラーの Computer オブジェクトの親コンテナーを検索して、グループ ポリシー オブジェクトの一覧を収集します。
• ドメイン コントローラーは、グループ ポリシー オブジェクトがドメイン コンテナーにリンクされている場合にのみ、前述の設定を適用します。
• ドメイン コンテナーにリンクされているグループ ポリシー オブジェクトが複数ある場合、グループ ポリシー オブジェクトのアプリケーションは、リストの下部にあるグループ ポリシー オブジェクトで始まり、グループ ポリシー オブジェクトで終わります。 これにより、グループ ポリシー オブジェクトが他のオブジェクトよりも優先されます。