ドメイン ベースの GPO とは
AD DS でドメインベースの GPO を作成し、ドメイン コントローラーに格納することができます。 これらの GPO を使用して、ドメインのユーザーとコンピューターの構成を一元的に管理できます。 AD DS をインストールすると、Windows Server によって 2 つの既定の GPO が作成されます。
- [既定のドメイン ポリシー]
- 既定のドメイン コントローラー ポリシー
注意
Windows コンピューターには、ローカル GPO もあります。これは主に、コンピューターがドメイン環境に接続されていない場合に使用されます。
[既定のドメイン ポリシー]
既定のドメイン ポリシー GPO はドメインにリンクされ、認証されたユーザーに適用されます。 この GPO には WMI フィルターはありません。 そのため、ドメイン内のすべてのユーザーとコンピューターに適用されます。 この GPO には、パスワード、アカウントのロックアウト、および Kerberos バージョン 5 認証プロトコルのポリシーを指定するポリシー設定が含まれています。
これらの設定は AD DS 環境にとって非常に重要であるため、既定のドメイン ポリシーはグループ ポリシーの重要なコンポーネントです。 関連のないポリシー設定をこの GPO に追加しないでください。 ドメインに広範に適用する他の設定を構成する必要がある場合は、ドメインにリンクする追加の GPO を作成します。
既定のドメイン コントローラー ポリシー
既定のドメイン コントローラー ポリシーの GPO は、ドメイン コントローラーの OU にリンクされています。 ドメイン コントローラーのコンピューター アカウントはドメイン コントローラー OU にのみ保持され、他のコンピューター アカウントは他の OU に保持される必要があるため、この GPO はドメイン コントローラーまたはドメイン コントローラー OU 内のその他のコンピューター オブジェクトにのみ適用されます。
監査ポリシーを実装し、ドメイン コントローラーで必要なユーザー権利を割り当てるには、ドメイン コントローラー OU にリンクされている GPO を変更する必要があります。