ドメイン コントローラのグループ ポリシー適用ルール

適用対象: Windows Servers

概要


ドメイン コントローラは、一部のセキュリティ設定をドメインのルートにリンクされたグループ ポリシー オブジェクトのみから取得します。 ドメイン コントローラは同じアカウント データベースをドメインで共有するため、すべてのドメイン コントローラで特定のセキュリティ設定を同じにする必要があります。 これにより、ログオンに使用するドメイン コントローラに関係なく、ドメインのメンバに一貫した機能が提供されます。 Windows 2000 ではこのタスクを実行するために、グループ ポリシーの特定の設定のみをドメイン レベルでドメイン コントローラに適用します。 このグループ ポリシーの動作は、メンバ サーバーとワークステーションでは異なります。

Windows 2000 では、グループ ポリシーが Domain コンテナにリンクされている場合にのみ、次の設定がドメイン コントローラに適用されます。
  • [コンピュータの構成]、[Windows の設定]、[セキュリティの設定]、[アカウント ポリシー] の順にクリックして表示されるすべての設定 (これには、アカウント ロックアウトのポリシー、パスワードのポリシー、および Kerberos ポリシーのすべてが含まれます)
  • [コンピュータの構成]、[Windows の設定]、[セキュリティの設定]、[ローカル ポリシー]、[セキュリティ オプション] の順にクリックして表示される次の 3 つの設定
    • ログオン時間が時間切れになった場合、自動的にユーザーをログオフする (ローカル)
    • Administrator アカウント名の変更
    • Guest アカウント名の変更


以下の設定は、グループ ポリシーがドメイン コンテナにリンクされている場合にのみ、Windows Server 2003 ベースのドメイン コントローラに適用されます (グループ ポリシーの設定は、[コンピュータの構成]、[Windows の設定]、[セキュリティの設定]、[ローカル ポリシー]、[セキュリティ オプション] の順にクリックして表示します)。
  • アカウント: Administrator アカウントの状態
  • アカウント: Guest アカウントの状態
  • アカウント: Administrator アカウント名の変更
  • アカウント: Guest アカウント名の変更
  • ネットワーク セキュリティ: ログオン時間を経過した場合はユーザーを強制的にログオフさせる

詳細情報


ドメイン コントローラは Domain Controllers 組織単位から別の組織単位に移動できるため、グループ ポリシー オブジェクトのこれらの設定は、Domain Controllers 組織単位には適用されません。 Domain コンテナを使用すると、ドメイン コンテナがある組織単位に関係なく、これらの設定を適用できます。

ドメイン コントローラにこれらの設定が適用されるプロセスは、次のとおりです。
  • ドメイン コントローラによって、ドメイン コントローラの Computer オブジェクトの親コンテナが検索され、グループ ポリシー オブジェクトの一覧が収集されます。
  • グループ ポリシー オブジェクトが Domain コンテナにリンクされている場合にのみ、以前に表示された設定がドメイン コントローラによって適用されます。
  • 複数のグループ ポリシー オブジェクトが Domain コンテナにリンクされている場合、グループ ポリシー オブジェクトの適用は、一覧の末尾のグループ ポリシー オブジェクトから開始され、先頭のグループ ポリシー オブジェクトで終了します。 このため、先頭のグループ ポリシー オブジェクトが他よりも優先されます。
グループ ポリシーの詳細については、次のマイクロソフト Web サイトにあるホワイト ペーパー『Windows 2000 グループ ポリシー概要』を参照してください。