グループポリシーとOU
グループポリシーとOU
グループポリシーはActive Directory環境で端末やユーザーの設定を一括管理する強力な仕組みです。OU(組織単位)と組み合わせることで、部門ごとに異なるポリシーを柔軟に適用できます。
OU(組織単位)とは
OU(Organizational Unit)はADドメイン内のコンテナで、ユーザー・コンピュータ・グループなどのオブジェクトを論理的にまとめます。
- 組織構造の反映:部門や拠点をOU構造で表現
- GPOの適用単位:OUにグループポリシーオブジェクト(GPO)をリンク
- 管理権限の委任:特定OUの管理権限を部門管理者に委任可能
OU設計のポイントは「管理のしやすさ」を最優先することです。組織図をそのまま反映する必要はなく、GPOの適用パターンに合わせて設計します。
グループポリシーオブジェクト(GPO)
GPOは設定の集合体で、グループポリシー管理コンソール(GPMC: gpmc.msc)で作成・編集します。
- コンピューターの構成:コンピュータ起動時に適用。OSの設定やセキュリティポリシー
- ユーザーの構成:ユーザーログオン時に適用。デスクトップやアプリの設定
GPOの適用順序(LSDOU)
GPOは以下の順序で適用され、後から適用されたものが優先されます。
- L(Local):ローカルグループポリシー
- S(Site):サイトにリンクされたGPO
- D(Domain):ドメインにリンクされたGPO
- OU:OUにリンクされたGPO(親OU→子OUの順)
「強制」や「ブロック」の設定で適用順序を上書きすることも可能ですが、複雑化するため最小限に留めましょう。
代表的なポリシー設定例
| 設定 | パス(概要) | 効果 |
|---|---|---|
| パスワードポリシー | コンピューターの構成 > ポリシー > Windows の設定 > セキュリティ | 最小文字数、複雑さ、有効期限の設定 |
| 画面ロック | ユーザーの構成 > 管理用テンプレート | 一定時間後に自動ロック |
| USB制限 | コンピューターの構成 > 管理用テンプレート > システム | USBストレージの使用を禁止 |
| Windows Update | コンピューターの構成 > 管理用テンプレート > Windows コンポーネント | WSUSサーバーの指定、更新スケジュール |
実務ポイント:GPOは非常に強力ですが、闇雲に増やすとログオンが遅くなり管理も複雑化します。中小企業では5〜10個程度のGPOに収めるのが理想です。変更前にテスト用OUで検証し、問題がないことを確認してから本番OUに適用しましょう。gpresult /rコマンドで、端末に実際に適用されているポリシーを確認できます。
✅ 完了済み