グループ ポリシーのループバック処理

この記事では、ユーザーが特定の組織単位のコンピューターにサインインするときにグループ ポリシー ループバック関数を適用する際の問題を解決するのに役立ちます。

適用対象:  Windows Server 2012R2
元の KB 番号:   231287

概要

グループ ポリシーは、ユーザーオブジェクトとコンピューター オブジェクトの両方が Active Directory 内のどこに存在するかに依存する方法で、ユーザーまたはコンピューターに適用されます。 場合によっては、ユーザーがコンピューター オブジェクトの場所に基づいてポリシーを適用する必要がある場合があります。 グループ ポリシー ループバック機能を使用して、ユーザーがサインインするコンピューターにのみ依存するグループ ポリシー オブジェクト (GPO) を適用できます。

詳細

コンピューターごとにユーザー構成を設定するには、次の手順を実行します。

  1. グループ ポリシー Microsoft 管理コンソール (MMC) で、[コンピューター構成] を選択します
  2. [**管理用テンプレート] を探し、[**システム] を選択し、[グループ ポリシー] を選択し、[ループバック ポリシー] オプション を有効 にします。

このポリシーは、このポリシーの影響を受けるコンピューターにログオンするユーザーに、コンピューターの GPO のセットを適用するシステムに指示します。 このポリシーは、使用しているコンピューターに基づいてユーザー ポリシーを変更する必要がある特殊な使用コンピューターを対象とします。 たとえば、公共エリア、ラボ、教室のコンピューターなどです。

注意

ループバックは Active Directory 環境でのみサポートされます。 コンピューター アカウントとユーザー アカウントの両方が Active Directory に存在する必要があります。 Microsoft 4.0 Windows NTベースのドメイン コントローラーがいずれかのアカウントを管理している場合、ループバックは機能しません。 クライアント コンピューターは、次のいずれかのオペレーティング システムを実行している必要があります。

  • Windows XP Professional
  • Windows 2000 Professional
  • Windows 2000 Server
  • Windows 2000 Advanced Server
  • Windows Server 2003

ユーザーが自分のワークステーションで作業する場合は、ユーザー オブジェクトの場所に基づいてグループ ポリシー設定を適用できます。 そのため、ユーザー アカウントが存在する組織単位に基づいてポリシー設定を構成することをお勧めします。 コンピューター オブジェクトが特定の組織単位に存在する場合、ポリシーのユーザー設定は、ユーザー オブジェクトではなくコンピューター オブジェクトの場所に基づいて適用する必要があります。

注意

ループバック ポリシーに指定されたコンピューター オブジェクトから AGP および読み取り権限を拒否または削除して、適用されるユーザー設定をフィルター処理することはできません。

通常のユーザー グループ ポリシー処理では、組織単位に配置されているコンピューターに、コンピューターの起動時に GPO が順番に適用される必要があります。 組織単位のユーザーは、ログオンするコンピューターに関係なく、ログオン時に GPO が順番に適用されます。

場合によっては、この処理順序が適切ではない場合があります。 たとえば、ユーザーが特定の組織単位のコンピューターにログオンするときに、組織単位のユーザーに割り当てられたアプリケーションまたは公開されたアプリケーションをインストールしない場合です。 グループ ポリシー ループバック サポート機能を使用すると、この特定の組織単位のコンピューターの任意のユーザーに対して GPO の一覧を取得する他の 2 つの方法を指定できます。

  • マージ モード

    このモードでは、ユーザーがログオンすると、ユーザーの GPO の一覧は通常、GetGPOList 関数を使用して収集されます。 GetGPOList 関数は、Active Directory 内のコンピューターの場所を使用して再度呼び出されます。 コンピューターの GPO の一覧が、ユーザーの GPO の末尾に追加されます。 これは、コンピューターの GPO がユーザーの GPO よりも高い優先順位を持つ原因です。 この例では、コンピューターの GPO の一覧がユーザーのリストに追加されます。

  • 置換モード

    このモードでは、ユーザーの GPO の一覧は収集されません。 コンピューター オブジェクトに基づく GPO の一覧だけが使用されます。