グループ ポリシーのループバック処理

この記事は、ユーザーが特定の組織単位のコンピューターにサインインするときに、グループ ポリシー ループバック関数を適用する問題を解決するのに役立ちます。

適用対象: Windows Server 2012 R2
元の KB 番号: 231287

概要

グループ ポリシーは、ユーザーとコンピューター オブジェクトの両方が Active Directory 内のどこにあるかによって異なる方法で、ユーザーまたはコンピューターに適用されます。 場合によっては、ユーザーがコンピューター オブジェクトの場所に基づいてポリシーを適用する必要がある場合があります。 グループ ポリシー ループバック機能を使用して、ユーザーがサインインするコンピューターのみに依存するグループ ポリシー オブジェクト (GPO) を適用できます。

詳細

コンピューターごとにユーザー構成を設定するには、次の手順に従います。

1. グループ ポリシー Microsoft 管理コンソール (MMC) で、[コンピューターの構成] を選択します。
2. [管理用テンプレート] を見つけて、[システム] を選択し、[グループ ポリシー] を選択して、[ループバック ポリシー] オプションを有効にします。

このポリシーは、このポリシーの影響を受けるコンピューターにログオンするすべてのユーザーに、コンピューターの GPO のセットを適用するようにシステムに指示します。 このポリシーは、使用されているコンピューターに基づいてユーザー ポリシーを変更する必要がある特殊な用途のコンピューターを対象としています。 たとえば、公共エリア、研究所、教室のコンピューターなどです。

ユーザーが自分のワークステーションで作業する場合は、ユーザー オブジェクトの場所に基づいてグループ ポリシー設定を適用できます。 そのため、ユーザー アカウントが存在する組織単位に基づいてポリシー設定を構成することをお勧めします。 コンピューター オブジェクトが特定の組織単位に存在する場合、ポリシーのユーザー設定は、ユーザー オブジェクトではなくコンピューター オブジェクトの場所に基づいて適用する必要があります。

通常のユーザー グループ ポリシー処理では、組織単位に配置されているコンピューターに、コンピューターの起動時に GPO が順番に適用されることを指定します。 組織単位のユーザーは、ログオン先のコンピューターに関係なく、ログオン中に GPO が順番に適用されます。

場合によっては、この処理順序が適切でない場合があります。 たとえば、ユーザーが特定の組織単位のコンピューターにログオンしたときに、組織単位のユーザーに割り当てられたアプリケーションや発行されたアプリケーションをインストールしたくない場合などです。 グループ ポリシー ループバック サポート機能を使用すると、他の 2 つの方法を指定して、この特定の組織単位内のコンピューターの任意のユーザーの GPO の一覧を取得できます。

• マージ モード

  このモードでは、ユーザーがログオンすると、通常、GetGPOList 関数を使用して GPO のユーザーの一覧が収集されます。 その後、Active Directory 内のコンピューターの場所を使用して、GetGPOList 関数が再度呼び出されます。 その後、コンピューターの GPO の一覧が、ユーザーの GPO の末尾に追加されます。 これにより、コンピューターの GPO の優先順位がユーザーの GPO よりも高くなります。 この例では、コンピューターの GPO の一覧がユーザーの一覧に追加されます。

• 置換モード

  このモードでは、ユーザーの GPO の一覧は収集されません。 コンピューター オブジェクトに基づく GPO の一覧のみが使用されます。

データ収集

Microsoft サポートからの支援が必要な場合は、「TSS を使用して情報を収集する」で説明されている手順に従って情報グループ ポリシー収集することをお勧めします。