グループ ポリシーのループバック処理
この記事は、ユーザーが特定の組織単位のコンピューターにサインインするときに、グループ ポリシー ループバック関数を適用する問題を解決するのに役立ちます。
適用対象: Windows Server 2012 R2
元の KB 番号: 231287
概要
グループ ポリシーは、ユーザーとコンピューター オブジェクトの両方が Active Directory 内のどこにあるかによって異なる方法で、ユーザーまたはコンピューターに適用されます。 場合によっては、ユーザーがコンピューター オブジェクトの場所に基づいてポリシーを適用する必要がある場合があります。 グループ ポリシー ループバック機能を使用して、ユーザーがサインインするコンピューターのみに依存するグループ ポリシー オブジェクト (GPO) を適用できます。
詳細
コンピューターごとにユーザー構成を設定するには、次の手順に従います。
- グループ ポリシー Microsoft 管理コンソール (MMC) で、[コンピューターの構成] を選択します。
- [管理用テンプレート] を見つけて、[システム] を選択し、[グループ ポリシー] を選択して、[ループバック ポリシー] オプションを有効にします。
このポリシーは、このポリシーの影響を受けるコンピューターにログオンするすべてのユーザーに、コンピューターの GPO のセットを適用するようにシステムに指示します。 このポリシーは、使用されているコンピューターに基づいてユーザー ポリシーを変更する必要がある特殊な用途のコンピューターを対象としています。 たとえば、公共エリア、研究所、教室のコンピューターなどです。
注:
ループバックは、Active Directory 環境でのみサポートされます。 コンピューター アカウントとユーザー アカウントの両方が Active Directory に存在する必要があります。 Microsoft Windows NT 4.0 ベースのドメイン コントローラーがどちらのアカウントも管理している場合、ループバックは機能しません。 クライアント コンピューターは、次のいずれかのオペレーティング システムを実行している必要があります。
- Windows XP Professional
- Windows 2000 Professional
- Windows 2000 Server
- Windows 2000 Advanced Server
- Windows Server 2003
ユーザーが自分のワークステーションで作業する場合は、ユーザー オブジェクトの場所に基づいてグループ ポリシー設定を適用できます。 そのため、ユーザー アカウントが存在する組織単位に基づいてポリシー設定を構成することをお勧めします。 コンピューター オブジェクトが特定の組織単位に存在する場合、ポリシーのユーザー設定は、ユーザー オブジェクトではなくコンピューター オブジェクトの場所に基づいて適用する必要があります。
注:
ループバック ポリシーに指定されたコンピューター オブジェクトから AGP 権限と読み取り権限を拒否または削除することによって適用されるユーザー設定をフィルター処理することはできません。
通常のユーザー グループ ポリシー処理では、組織単位に配置されているコンピューターに、コンピューターの起動時に GPO が順番に適用されることを指定します。 組織単位のユーザーは、ログオン先のコンピューターに関係なく、ログオン中に GPO が順番に適用されます。
場合によっては、この処理順序が適切でない場合があります。 たとえば、ユーザーが特定の組織単位のコンピューターにログオンしたときに、組織単位のユーザーに割り当てられたアプリケーションや発行されたアプリケーションをインストールしたくない場合などです。 グループ ポリシー ループバック サポート機能を使用すると、他の 2 つの方法を指定して、この特定の組織単位内のコンピューターの任意のユーザーの GPO の一覧を取得できます。
マージ モード
このモードでは、ユーザーがログオンすると、通常、GetGPOList 関数を使用して GPO のユーザーの一覧が収集されます。 その後、Active Directory 内のコンピューターの場所を使用して、GetGPOList 関数が再度呼び出されます。 その後、コンピューターの GPO の一覧が、ユーザーの GPO の末尾に追加されます。 これにより、コンピューターの GPO の優先順位がユーザーの GPO よりも高くなります。 この例では、コンピューターの GPO の一覧がユーザーの一覧に追加されます。
置換モード
このモードでは、ユーザーの GPO の一覧は収集されません。 コンピューター オブジェクトに基づく GPO の一覧のみが使用されます。
データ収集
Microsoft サポートからの支援が必要な場合は、「TSS を使用して情報を収集する」で説明されている手順に従って情報グループ ポリシー収集することをお勧めします。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示