グループ ポリシーの基本設定
グループ ポリシーの基本設定は、Microsoft Windows デスクトップおよびサーバー オペレーティング システムを実行している、ドメインに参加しているコンピューターに、基本設定を提供するグループ ポリシーのクライアント側拡張のコレクションです。 基本設定は、デスクトップとサーバーに展開された管理の構成の選択です。 基本設定は、ユーザーは、選択、管理の構成を変更するため、ポリシーの設定とは異なります。 ポリシー設定では、管理者によって設定がユーザーの選択の制限を強制します。
グループ ポリシーの基本設定については、グループ ポリシーを使用して、ドメインに参加しているコンピューターに分散されます。 グループ ポリシーの柔軟性では、Windows を実行して、ドメインに参加しているコンピューターに不透明な構成データを配信できます。 グループ ポリシー クライアント側拡張機能をこの時点で、不透明なデータが関連するクライアント側拡張機能は、データを理解するためには、非透過のデータは、転送します。
このドキュメントでは、グループ ポリシーの [ドライブ マップとプリンターのクライアント側拡張機能が、構成データを処理する方法について説明します。 このような知識を持つ管理者がより効果的な実施できるデザインし、それぞれの環境でのグループ ポリシーのドライブ マップとプリンターの項目を展開します。 また、このテクニカル リファレンスで説明する情報を使用して、it プロフェッショナルはグループ ポリシーのドライブ マップとプリンターの処理のトラブルシューティングを行います。
前提条件の基礎
グループ ポリシー
グループ ポリシーは、管理テクノロジが Windows server コンピューターとユーザー設定をセキュリティで保護することができます。 これらの設定をセキュリティで保護するユーザーの場合は、一般的なコンピューティング環境を確認し、オペレーティング システムに悪影響を及ぼす影響を与える構成を偶然または意図的に制限することで、総保有コストを削減します。
グループ ポリシー オブジェクト (GPO) は、2 つのコンポーネント、グループ ポリシー コンテナー、およびグループ ポリシー テンプレートで構成される論理オブジェクトです。 Windows では、ドメイン内のドメイン コント ローラーで、これらのオブジェクトを格納します。 コンテナーのグループ ポリシー オブジェクトは、Active Directory のドメイン パーティションに格納されます。 グループ ポリシー テンプレートは、ドメイン内の各ドメイン コント ローラーのファイルとシステム ボリューム (SYSVOL) に格納されているフォルダーのコレクションです。 Windows では、ドメイン内のすべてのドメイン コント ローラーに、コンテナーとテンプレートをコピーします。 Active Directory のレプリケーションは、グループ ポリシー コンテナーの中に、ファイル レプリケーション サービス (FRS) をコピーするか、または分散ファイル システム レプリケーション (DFSR) サービスは、SYSVOL 上のデータをコピーします。
グループ ポリシー コンテナーとテンプレート化します。グループ ポリシー オブジェクトと呼ばれる論理オブジェクトを確認します。 各グループ ポリシー オブジェクトには、構成の 2 つのクラスが含まれています。 ユーザーとコンピューター。 コンピューターの構成設定では、ログオン ユーザーに関係なく、全体として、コンピューターに影響します。 ユーザーの構成設定は、現在ログオンして、ユーザーに影響を与えるし、各ユーザーと異なる場合があります。 コンピューターの設定の例をいくつかは、電源管理、ユーザーの権利、およびファイアウォールの設定です。 ユーザー設定の例では、Internet Explorer を含める、設定、およびフォルダー リダイレクトを表示します。
グループ ポリシー オブジェクトとその設定は、リンクされているコンピューターとユーザーに適用されます。 Gpo をリンクするには、Active Directory サイト、ドメイン、組織単位、または入れ子になった組織単位にします。 グループ ポリシー オブジェクトは、リンクされているコンテナーから分離されます。 この分離を使用すると、複数のコンテナーを 1 つの GPO をリンクできます。 ユーザーまたは複数のコンテナー内のコンピューターに適用する 1 つの GPO により、多くのコンテナーに Gpo をリンクできます。 これは、GPO のスコープを定義します。 コンピューターの構成は、または入れ子になった複数のコンテナー内のコンピューターに適用されます。 ユーザーの構成は、同じ方法でユーザーに適用されます。
ポリシー設定は、ユーザー ログオン時に、コンピューターの起動時にコンピューターおよびユーザーを適用します。 Windows Server 2012 および Windows 8 には、グループ ポリシー サービスが含まれています。 コンピューターの起動時には、グループ ポリシー サービスは、コンピューター オブジェクトの (リンク) のスコープ内にある Gpo の一覧については、Active Directory を照会します。 ここでも、これが含まれています。
コンピューターが存在するサイト
コンピューターがメンバーとなっているドメイン
コンピューターが直接メンバーであり、親 OU の上の他の組織単位を親組織単位。
グループ ポリシー サービスでは、(はさまざまな方法で Gpo をフィルターを適用するには、これは、この概要の対象外) のコンピューターに Gpo が適用されるを決定し、それらのポリシー設定を適用します。 クライアント側拡張機能 (Cse) は、Gpo に含まれているポリシー設定を適用します。 グループ ポリシーのクライアント側拡張機能は、別のコンポーネントを GPO からのデータを設定して、コンピュータまたはユーザーに適用することは特定のポリシーを読み取りを担当するグループ ポリシー サービスです。 たとえば、グループ ポリシー レジストリのクライアント側拡張機能では、各 GPO からレジストリ ポリシーの設定のデータを読み取り、レジストリには、その情報を適用します。 セキュリティの CSE では、読み取りし、セキュリティ ポリシー設定を適用します。 フォルダー リダイレクトの CSE では、読み取り、フォルダー リダイレクト ポリシー設定を適用します。
ユーザーがコンピューターにログインしたときに、グループ ポリシーの処理が繰り返されます。 グループ ポリシー サービスでは、ユーザーに適用される Gpo を決定し、ユーザーのポリシー設定を適用します。
作成、変更、およびグループ ポリシー オブジェクトを Active Directory 内のコンテナーにリンクする方法の十分な知識があることが重要です。 グループ ポリシーの基本設定では、グループ ポリシーと同じ概念を使用します。 実際には、グループ ポリシーを管理することはグループ ポリシーの基本設定を管理します。 これは、グループ ポリシーの確認これは完了しません。 グループ ポリシーを管理する方法に慣れていない場合、または完全な状態の更新機能を作成する必要がありますがある場合は、Windows Group Policy Resource Kit を読み取ることができます。Windows Server 2008 および Windows Vista (Microsoft Press の 2008 年) です。
クライアント側拡張機能
グループ ポリシーのクライアント側拡張機能は、分離されたコンポーネントであり、グループ ポリシーのインフラストラクチャで提供されている特定のポリシー設定を処理するためです。 各グループ ポリシーのクライアント側拡張機能がデータを保存する形式は、各拡張機能には一意であることができます。 グループ ポリシー インフラストラクチャは、この形式の対応することはありません。 また処理は。 グループ ポリシーの目的は、設定を各クライアント側拡張機能には複数のグループ ポリシー オブジェクトからのポリシー設定の一部が適用されるコンピューターに配信します。
グループ ポリシーのインフラストラクチャとグループ ポリシー間のリレーションシップを理解するのに役立つクライアント側拡張機能-には、配送業者が検討してください。 配送業者では、さまざまなソースから情報を収集しにその情報を提供します。 配送業者情報を持っていないどのような情報がサービスを提供しています。 情報は、文字、DVD の場合、または写真を CD 可能性があります。 配送業者が把握できるは、特定のアドレスに、情報を配信します。
この図では、グループ ポリシー サービスで postal キャリア--情報についての情報はなく、情報を提供します。 配送業者によって配信される情報は、別のポリシー設定を表します。 グループ ポリシーのクライアント側拡張機能では、情報を受け取るユーザーを表します。 アドレスには、多数の受信者を持つことができます。 各受信者は、予想される形式で自分のメールを受け取ります。 グループ ポリシーのクライアント側の拡張子は、それぞれのポリシーの設定情報を読み取ります、に基づいてアクションを実行、ポリシー設定で情報が含まれています。
グループ ポリシーの処理
グループ ポリシーの適用とは、グループ ポリシー オブジェクトの Windows は、ユーザーまたはコンピューターに適用されるテクノロジを決定して、これらの設定を適用のプロセスです。 グループ ポリシーの処理とは、グループ ポリシー設定の展開の計画およびキーです。 誤解のグループ ポリシーの処理は、望ましくないと説明のつかないポリシー設定の最も一般的な原因です。
グループ ポリシーの処理を理解する鍵は、スコープです。スコープは単なるユーザーまたはコンピューターの Active Directory 内のオブジェクトの場所に基づいてが適用されるすべてのグループ ポリシー オブジェクトのコレクション。 スコープを作成するリンクActive Directory 内の特定の場所にグループ ポリシー オブジェクトです。
グループ ポリシーの処理を理解する鍵は、スコープです。スコープは単なるユーザーまたはコンピューターの Active Directory 内のオブジェクトの場所に基づいてが適用されるすべてのグループ ポリシー オブジェクトのコレクション。 スコープを作成するリンクActive Directory 内の特定の場所にグループ ポリシー オブジェクトです。
グループ ポリシーでは、グループ ポリシー オブジェクトのスコープを変更できるオプションを提供します。 グループ ポリシー オブジェクトのスコープを変更するには、適用するポリシー設定と、そうでないものに影響します。 グループ ポリシーを使用するスコープを変更する処理順序、フィルタ リング、およびリンク オプションです。
スコープ
グループ ポリシーの処理には、スコープを識別する必要がありますが属するはポリシー設定を適用します。 スコープは、Active Directory 階層内でユーザーまたはコンピューター オブジェクトが存在として状態だけです。 ユーザーまたはコンピューター オブジェクトのスコープを検出する最も簡単な方法では、それぞれのユーザーまたはコンピューターの Active Directory での識別名の参照です。 ディレクトリ内のオブジェクトの識別名では、オブジェクトの id と、ディレクトリ内のオブジェクトの場所を提供します。 次の識別名を検討してください。
CN=Kim Akers,OU=Human Resources, DC=corp,DC=contoso,DC=com
これにより、グループ ポリシー サービスは、ユーザー オブジェクト、ユーザー オブジェクトを格納している組織単位、およびユーザー オブジェクトが存在するドメインの名前を指定します。
CN=Jeff Low,OU=Managers,OU=Research,OU=RandD,DC=corp,DC=contoso,DC=com
リンク
グループ ポリシーのスコープでは、ユーザーまたはコンピューターに適用されるように、グループ ポリシー オブジェクトをリンク先を知る必要があります。 ユーザーまたはコンピューターに適用するグループ ポリシー オブジェクトを有効にするには、Active Directory 内で特定の場所に関連付けます。 グループ ポリシー オブジェクトを Active Directory 内のオブジェクトに関連付けると、リンクが呼び出されます。
Active Directory には、グループ ポリシー オブジェクトをリンクする場所を制御する規則があります。 Active Directory のオブジェクトをするには、グループ ポリシー オブジェクトをリンクして次のとおりです。
サイト オブジェクト
ドメイン オブジェクト
組織単位オブジェクト
これらの Active Directory オブジェクトへのリンクのグループ ポリシー オブジェクトは、グループ ポリシーの展開で戦略的です。 これらは、コンテナー オブジェクトです。 コンテナー オブジェクトの場合は、名前としてからわかるように、ディレクトリ内のオブジェクトの階層のグループを表す、内に--オブジェクト手段が他の含めることができます。 サイト オブジェクトには、複数のドメインからコンピューター オブジェクトを含めることができます。 ドメイン オブジェクトには、複数の組織単位、コンピューターおよびユーザー オブジェクトを含めることができます。 組織単位オブジェクトには、その他の組織単位オブジェクト、コンピューター、およびユーザーを含めることができます。 もう一度識別名を見てみましょう。
CN=Jeff Low,OU=Managers,OU=Research,OU=RandD,DC=corp,DC=contoso,DC=com
識別名の検証を閉じるには、可能性のあるユーザーにグループ ポリシー設定を適用できる各コンテナー オブジェクトが表示されます。 CN = Jeff Low には、ユーザー オブジェクト名です。 グループ ポリシーは、ユーザー オブジェクトに直接リンクすることはできません。 ただし、名前の残りの部分では、オブジェクトの場所が示されます。 作業することがわかると、左から右、できる各コンテナー オブジェクトは、ユーザーにグループ ポリシーを適用します。
OU=Managers,OU=Research,OU=RandD,DC=corp,DC=contoso,DC=com OU=Research,OU=RandD,DC=corp,DC=contoso,DC=com OU=RandD,DC=corp,DC=contoso,DC=com DC=corp,DC=contoso,DC=com
それぞれの場所は、グループ ポリシーの範囲を表します。 グループ ポリシー サービスでは、それぞれのディレクトリの場所からリンクされたグループ ポリシー オブジェクトを収集します。 これは、ユーザーまたはコンピューターのグループ ポリシーの範囲を表します。
通知は、Windows での順序は、グループ ポリシー オブジェクトの一覧を収集しますか。 ユーザーに最も近い OU で始まるし、これは、ドメイン オブジェクトでは通常、ユーザーからオブジェクトを一番にディレクトリを走査します。 リンクすると、ユーザーまたはコンピューターでのスコープ内にあるグループ ポリシー オブジェクトの一覧があります。 ただし、リストのすべての GPO は、ユーザーまたはコンピュータに適用する必要があります。
.jpeg "GPOs linked in Active Directory")
セキュリティ フィルター処理
グループ ポリシーのスコープでは、Active Directory 内でそのオブジェクトの場所のため、ユーザーまたはコンピューターに適用される可能性があるすべてのグループ ポリシー オブジェクトの一覧を示します。 セキュリティ フィルター処理では、それぞれのユーザーまたはコンピューターがグループ ポリシー オブジェクトに適用する適切なアクセス許可を持つかどうかを判断します。 ユーザーまたはコンピューターが必要、読み取りとグループ ポリシーの適用をユーザーに適用可能なグループ ポリシー オブジェクトを考慮するグループ ポリシー サービスのアクセスを許可します。
グループ ポリシー サービスは、ユーザーまたはコンピューターは、GPO に適切なアクセス許可を持っているかどうか、グループ ポリシー オブジェクトのすべてのリストを反復処理します。 ユーザーまたはコンピューターがある場合、GPO を適用するアクセス許可をグループ ポリシー サービスに移動し、GPO Gpo のフィルター選択された一覧にします。 リストの末尾に達するまで、アクセス許可に基づいて各グループ ポリシー オブジェクトをフィルター処理を続行します。 グループ ポリシー オブジェクトのフィルター選択されたリストでは、ユーザーまたはコンピューターのスコープ内のすべての Gpo が含まれており、ユーザーまたはアクセス許可に基づいてコンピューターに適用可能な。
.jpeg "Linked GPOs showing security filtering prevented")
WMI フィルター処理
WMI フィルター処理とは、ユーザーまたはコンピューターに適用されるグループ ポリシー オブジェクトのスコープを決定するは、最後のフェーズです。
Windows Management Instrumentation (WMI) は、Web-based Enterprise Management (WBEM) の Microsoft による実装です。 WMI では、Common Information Model (CIM) 業界規格を使用して、システム、アプリケーション、ネットワーク、デバイスなどのマネージ コンポーネントを表現します。
グループ ポリシーでは、該当するグループ ポリシー オブジェクトのスコープを制御するために他のフィルターを提供します。 WMI をコンピュータ、オペレーティング システム、およびその他のマネージ コンポーネントの特定の機能を問い合わせるためのクエリを作成することができます。 クエリのフォームでは、結果が true または false には相当する論理式--のように動作する条件を作成します。 関連付けられている場合、またはこれらの条件をグループ ポリシー オブジェクトにリンクするとします。 条件が true に評価されると、グループ ポリシー オブジェクトはまま、ユーザーに適用できますがしをフィルター処理された一覧内に保持します。 条件の評価が false の場合、グループ ポリシー サービスは、フィルター処理された一覧から、グループ ポリシー オブジェクトを削除します。
WMI フィルター処理が完了すると、サービスの一覧には、グループ ポリシーには、グループ ポリシー オブジェクトがフィルター処理します。 この最後の一覧では、ユーザーまたはコンピューターのすべての該当するグループ ポリシー オブジェクトを表します。 内部的には、セキュリティでは、1 つのサイクルが発生する WMI フィルター処理します。
.jpeg "Linked GPOs WMI filters prevent applying")
処理順序
グループ ポリシーでは、グループ ポリシー オブジェクトを特定の順序を持っています。 グループ ポリシーでは、アプリケーションの順序を使用して、さまざまなグループ ポリシー オブジェクト リンクを別の場所 Active Directory 内でポリシー設定の競合を解決するため、グループ ポリシー オブジェクトが適用される順序を理解することが重要です。
ローカル、サイト、ドメイン、および OU
グループ ポリシー サービスでは、サイトからグループ ポリシー オブジェクトの後にグループ ポリシー オブジェクトから、ドメイン、およびグループ ポリシー オブジェクトの組織単位をし、最初に、ローカルのグループ ポリシーが適用されます。 グループ ポリシーの設定]- [グループ ポリシー サービスを受信するには、対象となるユーザーまたはコンピューター、ユーザーに Ou を一番から系列で最も近いものをユーザーからの系列でのグループ ポリシー オブジェクトを適用します。 場合、 該当するグループ ポリシー オブジェクトのフィルター選択された一覧を検討してください。
DC=corp,DC=contoso,DC=com OU=RandD,DC=corp,DC=contoso,DC=com OU=Research,OU=RandD,DC=corp,DC=contoso,DC=com OU=Managers,OU=Research,OU=RandD,DC=corp,DC=contoso,DC=com
.jpeg "List of applied GPOs after security & WMI filterin")
最初のリストからグループ ポリシー オブジェクトの順序が変更されましたに注意してください。 グループ ポリシーの順序変更中に発生した、セキュリティおよび WMI フィルター処理します。 グループ ポリシー サービスでは、ユーザーまたはコンピューター オブジェクトを検索して、ディレクトリ ツリーを説明するようにすべてのリンクされた Gpo を収集して Gpo の最初の一覧を構築します。 Gpo は、旧バージョン グループ ポリシーとサービスが一覧の下に新しく検出されたリンクの位置を追加するために適用される順序からで一覧表示されます。 これは、ドメインの場所が一覧の下部には理由について説明します。
ただし、セキュリティおよび WMI フィルターの一覧をフィルター処理には、時に、ユーザーまたはコンピューター オブジェクトに最も近い系列内の OU であると、一覧の上部には、グループ ポリシー サービスが開始します。 サービスでは、フィルター処理された一覧にフィルターを通過する Gpo を配置することで新しいリスト (フィルター選択されたリスト) を構築します。 サービスでは、一覧の上部にあるドメインの場所を作成して、元のリストの順序を反転します。 ユーザーに最も近い場所は、一覧の下部には、グループ ポリシーの順序では、ユーザーとコンピューターに Gpo が適用されます。
競合の解決
各グループ ポリシー オブジェクトには、同じ数潜在的なポリシー設定にはが含まれています。 そのためを複数のグループ ポリシー オブジェクトで定義されている同じのポリシー設定を持つことができます。 複数のグループ ポリシー オブジェクトで、同じポリシー設定が構成されている場合、競合が発生します。 外出先での同じ領域について競合する 2 台の車のように、どちらを優先し、もう一方が失われます。 グループ ポリシーでは、最後に記述された内容と呼ばれるメソッドを使用して競合を処理します。 最後に記述された内容では、最後の書き込みをグループ ポリシーの設定と優先設定を宣言することで競合を解決します。 そのため、最後に適用されると競合するポリシー設定を含むグループ ポリシー オブジェクトは、その他のすべての設定が優先する設定です。
.jpeg "Conflict resolution between identical policies")
このドキュメントの処理順序のセクションでは、ローカル、サイト、ドメイン、および組織単位の順序でグループ ポリシー オブジェクトを適用することについて説明します。 この処理の階層に基づいています。
Active Directory サイトにリンクされたグループ ポリシー オブジェクトのポリシー設定では、ポリシー設定では、ローカル グループ ポリシー オブジェクトと、Active Directory サイトにリンクされているグループ ポリシー オブジェクトの間の競合を解決します。
ドメインにリンクされている Gpo でポリシー設定では、グループ ポリシー オブジェクトとの間、Active Directory サイトにリンクされている Active Directory ドメインにリンクされた Gpo ポリシー設定の競合を解決します。
組織単位にリンクされた Gpo でポリシー設定では、グループ ポリシー オブジェクトとの間、Active Directory ドメインにリンクされている組織単位にリンクされた Gpo ポリシー設定の競合を解決します。
子の組織単位にリンクされた Gpo でポリシー設定では、グループ ポリシー オブジェクトとの間に子の組織単位にリンクされている親組織単位にリンクされた Gpo ポリシー設定の競合を解決します。
同じ場所にリンクされている Gpo の間で競合の解決
グループ ポリシーを使用すると、各サイト、ドメイン、およびディレクトリに組織単位の場所で複数のグループ ポリシー オブジェクトをリンクすることができます。 ここまでは、競合の解決は、競合するポリシー設定が Active Directory 内の 2 つの異なる場所にあるリンクの間の解決策をのみ識別されます。 オブジェクトをグループ ポリシーの競合するポリシー設定については、同じ場所にリンクされたでしょうか。
グループ ポリシーは、グループ ポリシー オブジェクトを Active Directory 内の同じ場所としてリンク間でのポリシー設定の競合を解決するための最後優先メソッドを使用し続けます。 グループ ポリシー管理コンソール (GPMC) へのリンクでは、Active Directory の場所にグループ ポリシー オブジェクトが Active Directory 内の同じ場所にグループ ポリシー オブジェクト リンクの処理順序を説明する方法について説明します。
GPLink 属性
リンクすると、Active Directory サイト、ドメイン、および組織単位、グループ ポリシーをサポートする場所は GPLink 属性を持つこれらの各オブジェクトであるためです。 GPLink 属性では、単一値属性の文字列データ型の値を受け取るです。 Active Directory スキーマは、単一値の性質 GPLink 属性を適用、中に、グループ ポリシーは、複数値属性として属性を使用します。 GPMC では、次の形式を使用して GPLink 属性の値を書き込みます。
[distinguishedNameOfGroupPolicyContainer;linkOPtions][…][…]
DistingushedNameOfGroupPolicyContainer トークンでは、グループ ポリシーのコンテナーの識別名を表します。 グループ ポリシー オブジェクトは、情報の 2 つのコンポーネントで構成される 1 つの論理オブジェクトです。 ファイル システムに格納されている情報のコンポーネントは、グループ ポリシー テンプレートです。 残りのコンポーネントでは、グループ ポリシーのコンテナーは、Active Directory のドメイン パーティションに存在する Active Directory オブジェクトのオブジェクトです。 上で説明した、としては、ディレクトリ オブジェクトの識別名は、オブジェクトの名前とディレクトリ内の場所を提供します。
LinkOptions トークンでは、グループ ポリシー オブジェクトに関連付けられているリンクのオプションを定義する整数値です。 現時点では、有効にできますか、無効にする] は、グループ ポリシー オブジェクトのリンクします。 またを使った、リンクを構成できます。 LinkOptions 値は、ここで、構成値を組み合わせることによって異なりますビット値です。
Enabled0x0 Disabled 0x1 Enforced0x2
グループ ポリシー オブジェクトのリンクを無効にすると、グループ ポリシー サービスは、対象となるユーザーまたはコンピューターのスコープ内での Gpo の一覧で、その GPO を含むできなくなります。 DistinguishedNameOfGroupPolicyContainer linkOptions トークン角かっこ () で囲まれているし、は、セミコロン (;) で区切っています。 これは、シングル リンクのグループ ポリシー オブジェクトを表します。 新しい distingushedNameOfGroupPolicyContainer と既存の組み合わせでは、前に linkOptions の組み合わせを挿入する場所に別のグループ ポリシー オブジェクトをリンク最後に、新しい組み合わせは追加されません。 リンクのパターンを続行します。 値の先頭に新しくリンクされた Gpo を挿入するにはで、既存の値を右に移動します。
グループ ポリシー サービスでは、左から右への値の一覧としてこの長い文字列を読み取ります。 値には、最初の GPO のリンク エントリは、最初にこの場所では、適用します。 その後の値に [次へ] のエントリを適用します。 プロセスでは、値の最後の GPO が適用されるまでを続行します。
グループ ポリシーが本質的にそこに一覧の順序で各 GPO の優先順位を割り当てます-左から右にします。 したがって、値の最初の GPO では、リンクされたグループ ポリシー オブジェクトの一覧で、最低の優先順位があります。 以前の GPO では後に、そのポリシー設定が適用されるため、値では、次の GPO が GPO を以前よりも優先順位の高いで、2 つの Gpo の間でのポリシー設定の競合を獲得します。 これに続く各 GPO が、リンクの順序では、前に、グループ ポリシー オブジェクトよりも優先順位の高いです。 値では、最後の GPO は、グループ ポリシー サービスが適用される最後のグループ ポリシー オブジェクトであるために、最高の優先順位を持ちます。
このことを理解する最善の方法では、Gpo の一覧と考えるは、長い文字列です。 最初の GPO の実行 (左側のほとんどの GPO) 値にし、一覧に配置します。 GPO が一覧表示、および一覧 (下へ移動する他のすべての一覧で 1 つ) の上に配置は、[次へ] のリンクを取得します。 最後の GPO が一覧の先頭になるまでは、このプロセスを続行します。 この最終的な GPO リンクのエントリの一覧が、優先順位は、一覧は、ページのトップへ処理、下部にあるからことを意味します。
.jpeg "Unaltered string value of gplink attribute of OU")
優先順位の一覧に表示している場合に、Gpo の一覧内で上に Gpo の一覧で削減よりもの複数の優先順位があることを検出する簡単です。 その結果、Gpo の一覧内で下には、ポリシー設定の競合が失われ、一覧内で上の Gpo は、ポリシーの設定の競合を獲得します。
リンク オプション
前述したように、リンクのオプションとして、グループ ポリシーを有効に、無効になり、適用します。 有効になっていて、無効になっているオプションは、直感的に理解できます。 ときに、有効なリンクは、対象となるユーザーまたはコンピューターのグループ ポリシーのスコープ内と見なされます。 A リンクを無効になっているが、グループ ポリシー オブジェクトがリンクされていたことはありませんかのように動作します。
強制
リンクの強制] オプションは、すべてのルールの例外です。 [強制] オプションにより、リンクされた GPO から設定は、リンクされた GPO と競合する場合もポリシー設定を含むその他のグループ ポリシー オブジェクトに関係なく、競合を常に優先します。 GPMC は、視覚的に、南京錠を既存のポリシーのリンクのアイコンを追加することでグループ ポリシーの適用のリンクを表します。 グループ ポリシーの設定、[適用] リンクから、常に適用、組織の単位が有効になっているポリシーの継承のブロックを持っている場合でも
ポリシーの継承のブロック
グループ ポリシーの処理順序については、最後の項目は、ポリシーの継承のブロック、または単に、グループ ポリシー管理コンソールでの継承のブロックとして知られています。 各ドメインおよび Active Directory オブジェクトの組織単位が含まれています。、GPOptions属性です。 この設定を使用すると、ユーザーとは、通常、処理順でより下位のコンテナー内のコンピューターに適用した処理の順序で上位にリンクされているグループ ポリシー設定をブロックすることができます。
たとえば、ドメインにリンクされているポリシー設定では、コンピューターとその親組織単位に関係なく、全体のドメイン内でのユーザーに適用されます。 ただし、GPMC を使用して、ドメインまたは組織単位をユーザーとそのコンテナー内のコンピューターに適用することから、通常のグループ ポリシー設定を防ぐために継承をブロックすることができます。 ドメイン ポリシーの継承をブロックするには、ドメインに適用することから、Active Directory サイトにリンクされた Gpo からグループ ポリシー設定ができないようにします。 組織単位でポリシーの継承をブロックするには、組織単位に適用することから、サイトとドメインにリンクされた Gpo からの通常のグループ ポリシー設定ができないようにします。
ポリシーの継承のブロックでは、ユーザーとコンピューターに適用することからのリンクの強制のグループ ポリシー オブジェクトからのグループ ポリシー設定を妨げないです。 適用されているリンクから、グループ ポリシー設定は、ドメインと組織単位のオブジェクトに対してのポリシーの継承のブロック状態に関係なく適用されます。
グループ ポリシーの基本設定
グループ ポリシーの基本設定では、グループ ポリシーを拡張します。 基本設定は、グループ ポリシー設定ではありません。 Windows は、レジストリに両方の設定を格納します。ただし、ポリシーの設定が基本設定よりも利点がある、それらは通常、基本設定を上書きします。
ユーザー インターフェイスを使用して Windows を構成することができます。 ユーザー インターフェイスを表示するいずれかを選択します。。 オプションを選択します。[ok] をクリックするか、ダイアログ ボックスを閉じます。 Windows は、ため、その後でこれらの設定を取り消すことができますし、選択内容と、レジストリに保存します。 ユーザーが構成可能な設定は、基本設定 (小文字の"p"に注意してください) と呼ばれます。 共有フォルダーのマッピング、または既定のホーム ページの選択は、基本設定の例を示します。 ホーム ページを設定すると、Internet Explorer を使用して web ブラウザーを閉じるし、再度開くことができ、ホーム ページを記憶します。 ポリシーの設定は、ポリシーの設定がユーザーまたはコンピューターに適用されないために、基本設定とは異なります。 ポリシーでは、ユーザーがその設定を変更できなくなります。 通常、ユーザーは、基本設定を構成します。
グループ ポリシーの基本設定を使用すると、別の構成の選択からユーザーを制限することがなく、コンピューターとユーザーに必要な構成を展開できます。 ことが重要に構成を変更できるは、ユーザー、グループ ポリシーの基本設定はグループ ポリシーのクライアント側拡張機能に注意してください。 グループ ポリシーでのグループ ポリシーの基本設定を更新します。そのため、グループ ポリシーでは、グループ ポリシーの基本設定で構成されている値で、ユーザーが変更される任意の基本設定が上書きされます。 ユーザー構成] 基本設定のいずれかのグループ ポリシーの基本設定を使用して構成設定を置き換えたは、グループ ポリシーの場合と同じではできません。 True のグループ ポリシー設定では、設定が適用し、設定を変更することから、ユーザーを制限します。 ユーザーは、(これは、グループ ポリシーの基本設定項目で構成されている値に戻すには、基本設定を返します)、グループ ポリシーの次回の更新まで、グループ ポリシーの基本設定を有効になっている基本設定の値を簡単に変更できます。
クライアント側拡張機能
グループ ポリシーの基本設定は、グループ ポリシーのクライアント側拡張機能です。 グループ ポリシーの基本設定を構成する 20 の拡張機能があります。 これらの拡張機能が含まれます
クライアント側拡張機能 |
説明 |
グループ ポリシー環境 |
作成、変更、または環境変数を削除します。 |
グループ ポリシーのローカル ユーザーとグループ |
ローカル ユーザーとグループを作成、変更、または削除します。 |
グループ ポリシーのデバイスの設定 |
ハードウェア デバイスまたはデバイス クラスを有効または無効にします。 |
グループ ポリシーのネットワーク オプション |
作成、変更、または仮想プライベート ネットワーク (VPN) またはダイヤルアップ ネットワーク (DUN) 接続を削除します。 |
グループ ポリシーのドライブのマップ |
作成、変更、またはマップされたドライブを削除および、すべてのドライブの表示設定を構成します。 |
グループ ポリシーのフォルダー |
作成、変更、またはフォルダーを削除します。 |
グループ ポリシーのネットワーク共有 |
作成、変更、またはネットワーク共有を削除 |
グループ ポリシーのファイル |
コピー、属性の変更は、置換、またはファイルを削除します。 |
グループ ポリシーのデータ ソース |
ODBC (Open Database Connectivity) データ ソース名を作成、変更、または削除します。 |
グループ ポリシーの [INI ファイル |
追加、置換、または、構成設定 (.ini) またはセットアップ情報 (.inf) ファイルのセクションまたはプロパティを削除します。 |
グループ ポリシーのフォルダー オプション |
作成、変更、またはフォルダーを削除します。 |
グループ ポリシーの [タスクのスケジュール設定 |
スケジュールされたタスクまたは即時実行タスクを作成、変更、または削除します。 |
グループ ポリシー レジストリ |
レジストリ設定をコピーし、他のコンピューターに設定を適用します。 作成、置換、または、レジストリ設定を削除します。 |
グループ ポリシーのプリンター |
TCP/IP、共有、およびローカルのプリンター接続を作成、変更、または削除します。 |
グループ ポリシーのショートカット |
作成、変更、またはショートカットを削除します。 |
グループ ポリシーのインターネットの設定 |
ユーザーが構成できるインターネットの設定を変更します。 |
グループ ポリシーの [スタート] メニューの [設定 |
[スタート] メニューのオプションを変更します。(この機能は、Windows 8 および Windows Server 2012 には適用されません) |
グループ ポリシーの地域のオプション |
地域のオプションを変更します。 |
グループ ポリシーの電源オプション |
電源オプションの変更と、電源設定の作成、変更、または削除を行います。 |
グループ ポリシーのアプリケーション |
アプリケーションの設定を構成します。 |
一般的な構成
ほとんどのグループ ポリシー基本設定項目では、グループ ポリシーの基本設定の各基本設定が構成されている項目の処理のスコープを制御するための一般的な構成を共有します。
この項目に対して、エラーが発生した場合は、この拡張機能の項目の処理を停止します。
各基本設定拡張機能では、1 つまたは複数の基本設定項目を含めることができます。 既定では、障害が発生した基本設定項目でも、同じ拡張機能には、その他の基本設定項目の処理できます。
場合、この項目に対して、エラーが発生した場合は、この拡張機能の項目の処理を停止オプションが選択されている場合、障害が発生した基本設定拡張機能内の残りの基本設定項目を処理から項目できないようにします。 この動作の変更は、グループ ポリシー オブジェクト (GPO) がホストとクライアント側拡張機能に制限されます。 これは、他の Gpo には適用されません。
これは、グループ ポリシーの基本設定拡張が、一覧の先頭からの基本設定項目を処理し、機能は、最下位にことを理解しておく必要です。 基本設定拡張が次の問題のある基本設定項目の処理を停止してのみ基本設定項目 (、障害が発生したの下に表示されるアイテムの基本設定項目を一覧に表示される)。
ログオンしているユーザーのセキュリティ コンテキスト (ユーザー ポリシー オプション) で実行します。
2 つのセキュリティ コンテキストがグループ ポリシーにユーザー設定が適用されます。 システム アカウントとログオンしているユーザーです。
既定では、グループ ポリシーは、システム アカウントのセキュリティ コンテキストを使用して、ユーザーの基本設定項目を処理します。 このセキュリティ コンテキストでは、基本設定拡張は、環境変数と、コンピューターにのみ使用できるシステム リソースに制限されます。
場合、ログオンしているユーザーのセキュリティ コンテキストで実行オプションが選択されている場合、基本設定項目を処理するセキュリティ コンテキストを変更します。 基本設定拡張では、ログオン ユーザーのセキュリティ コンテキストの基本設定項目を処理します。 これにより、コンピューターではなくユーザーとしてリソースにアクセスするには、基本設定拡張できます。 これは、手順は、ドライブのマップまたはその他の設定をコンピューターがないリソースへのアクセス許可を使用する場合、または環境変数を使用する場合に重要と指定できます。 ログオンしているユーザーとは別のセキュリティ コンテキストで評価されたときに、多くの環境変数の値が異なります。
[ドライブ マップやプリンターなどのユーザーのセキュリティ コンテキストで処理する必要があるポリシーの基本設定拡張のグループ自動的に、ユーザーのコンテキストに切り替えるし、この設定を調整する必要はありません。
適用が不要になった場合に、この項目を削除します。
グループ ポリシーには、ユーザーとコンピューターのポリシー設定と基本設定項目が適用されます。 Active Directory サイト、ドメイン、または組織単位にするユーザーとコンピューターは、1 つまたは複数のグループ ポリシー オブジェクト (Gpo) をリンクしてこれらの項目を受信決定します。 これらのコンテナー内のユーザーとコンピューター オブジェクトには、ポリシー設定と、GPO のスコープ内であるために、リンクされた Gpo で定義されている基本設定項目が表示されます。
ポリシーの設定とは異なり、グループ ポリシー サービスは削除されません優先設定、ホストしている GPO がユーザーまたはコンピューターのスコープ外になったとき。
場合、適用されなくなった場合は、この項目を削除するオプションが選択されている場合、この動作を変更します。 このオプションを選択すると、後に、基本設定拡張は、かどうか、基本設定項目は、対象とするユーザーまたはコンピューター (スコープ外) にする必要があります適用されませんを決定します。 場合は、基本設定拡張は、基本設定項目がスコープ外を決定したら、基本設定項目に関連する設定を削除します。
この設定を選択すると、基本設定項目のアクションを変わります置換です。 グループ ポリシーの適用中に、基本設定拡張を再作成 (削除または作成)、基本設定項目の結果。 基本設定項目がユーザーまたはコンピューターのスコープ外にある場合は、基本設定項目の結果が削除されるは、作成されません。 項目レベルのターゲットを使用して、または WMI とセキュリティ グループ フィルターなどの上位レベルのグループ ポリシー フィルターによって、基本設定項目がスコープ外になることができます。
適用されなくなった場合は、この項目を削除するに削除する、基本設定項目の操作を設定すると、オプションを使用できることはできません。
1 回だけ適用し、再適用しません。
グループ ポリシーが更新されると、基本設定項目が適用されます。
既定では、基本設定項目の結果はグループ ポリシーの更新のたびに書き換えられます。 これにより、基本設定項目の結果は、グループ ポリシー オブジェクトで構成されていると一貫性のあります。
場合、1 回だけ適用し、再適用しないオプションが選択されている場合、別の動作、ため、基本設定拡張の基本設定項目の結果をユーザーまたはコンピューター 1 回だけに適用されます。 このオプションは、再適用する基本設定項目の結果が表示されないようにする場合に便利です。
項目レベルのターゲット
グループ ポリシーがどのポリシー設定を制御するフィルターを提供し、基本設定項目は、ユーザーとコンピューターに適用します。 基本設定では、ターゲットと呼ばれるフィルター処理の追加のレイヤーを提供します。 項目レベルのターゲットを使用するとコントロールをユーザーまたはコンピューターのグループに、基本設定項目が適用される場合。
項目レベルのターゲットを使用すると、選択したユーザーまたはコンピューターにのみ適用されるように、個々 の基本設定項目のスコープを変更できます。 1 つグループ ポリシー オブジェクト (GPO) 内では、複数の基本設定項目を含めることができます: 選択したユーザーまたはコンピューターの各カスタマイズして、ターゲットのみに関連するユーザーまたはコンピューター設定を適用することを指定します。
各ターゲット項目では、true または false のいずれかの値になります。 基本設定項目に複数のターゲット項目を適用して、論理操作を選択できます (とまたは OR) を前の各ターゲット項目を結合に使用します。 基本設定項目のすべてのターゲット項目の合計の結果は、false は、ユーザーまたはコンピュータに、基本設定項目の設定は適用されません。 ターゲットのコレクションを使用して、また、かっこを用いた式を作成することができます。
バッテリ存在
バッテリの存在ターゲット項目に使用すると、1 つまたは複数のバッテリは、処理対象のコンピューターに存在する場合にのみ、コンピューターまたはユーザーに適用するの基本設定項目を示します。 しない] を選択すると、処理対象のコンピューターには、1 つまたは複数バッテリの存在にいない場合にのみ適用するには、基本設定項目ができるようです。
場合無停電電源装置 (UPS) が処理対象のコンピューターに接続されている、バッテリの存在ターゲット項目が UPS が検出し、バッテリとして識別します。
コンピューター名
コンピューター名がターゲット項目では、コンピューターの名前には、ターゲット項目で指定したコンピューター名が一致する場合にのみ、コンピューターまたはユーザーに適用される基本設定項目をできます。 しない] を選択すると場合、は、基本設定項目は、コンピューターの名前が、ターゲット項目で指定したコンピューター名と一致しない場合にのみ適用されますが、できます。
CPU 速度
CPU 速度がターゲット項目では、処理対象のコンピューターの CPU の速度がターゲット項目で指定された値以上である場合にのみ、コンピューターまたはユーザーに適用される基本設定項目を許可します。 しない] を選択すると、処理対象のコンピューターの CPU の速度がターゲット項目で指定された値小さい場合にのみ適用するには、基本設定項目ができるようです。
日付の一致
日付の一致のターゲット項目では、曜日または日付と一致するターゲット項目で指定されている場合にのみ、コンピューターまたはユーザーに適用される基本設定項目を使用します。 しない] を選択すると場合、は、曜日または日付が、ターゲット項目で指定されているに一致しない場合にのみ適用するには、基本設定項目を使用します。
ダイヤルアップ接続
ダイヤルアップ接続のターゲット項目を使用すると] 基本設定項目をターゲット項目で指定された型のネットワーク接続が接続されている場合にのみ、ユーザーに適用します。 しない] を選択すると場合、は、基本設定項目は、ターゲット項目で指定された型のネットワーク接続が接続されていない場合にのみ適用されますが、できます。
ダイヤルアップ接続のターゲット項目では、かどうかネットワーク接続の種類が存在するかどうか、ユーザーがログオンしていないその種類の接続からを検出します。
ディスク領域
ディスク領域がターゲット項目では、処理対象のコンピューターの使用可能なディスク領域がターゲット項目で指定された容量以上である場合にのみ、コンピューターまたはユーザーに適用される基本設定項目を許可します。 しない] を選択すると、処理対象のコンピューターの使用可能なディスク領域がターゲット項目で指定された容量小さい場合にのみ適用するには、基本設定項目ができるようです。
ドメイン
ターゲット項目のドメインを使用すると] 基本設定項目に、ユーザーがログオンしているか、コンピューターのドメインまたはワークグループのターゲット項目で指定されたメンバーである場合にのみ、コンピューターまたはユーザーに適用します。 しない] を選択すると場合、は、基本設定項目は、ユーザーがログオンしていないか、コンピューターがドメインまたはターゲット項目で指定されたワークグループのメンバーではない場合にのみ適用されますが、できます。
環境変数
環境変数がターゲット項目では、環境変数と、ターゲット項目で指定された値が等しい場合にのみ、コンピューターまたはユーザーに適用される基本設定項目を使用します。 しない] を選択すると、環境変数と、ターゲット項目で指定された値が等しくない場合にのみ、または環境変数が存在しない場合に適用するには、基本設定項目ができるようです。
複数の基本設定項目の範囲を複雑な対象項目のセットで制限する場合は、環境変数を使用すると構成を簡素化できます。 たとえば、Environment Variable 基本設定項目を 1 つ作成し、これに値 1 を持つ新しい環境変数を生成させ、この環境変数に対象項目を適用します。 同じ対象指定を別の基本設定項目に適用するには、これらの基本設定項目に Environment Variable 対象項目を追加し、Environment Variable 基本設定項目を使用して作成した変数の値が 1 を持つ必要があるように、この環境変数を構成します。
ファイルの一致
ファイルの一致のターゲット項目では、ファイルまたはターゲット項目で指定したフォルダーが存在するか、ターゲット項目でファイルが存在し、範囲内のバージョンである場合にのみに指定されている場合にのみ、コンピューターまたはユーザーに適用される基本設定項目を使用します。 しない] を選択すると、ファイルまたはターゲット項目で指定したフォルダーが存在しない場合にのみ、またはファイルのバージョンがターゲット項目で指定された範囲内にない場合にのみ適用するには、基本設定項目ができるようです。
IP アドレスの一致
IP アドレス範囲ターゲット項目では、処理対象のコンピューターの IP アドレスがターゲット項目で指定された範囲内にある場合にのみ、コンピューターまたはユーザーに適用される基本設定項目を許可します。 しない] を選択すると、処理対象のコンピューターの IP アドレスがターゲット項目で指定された範囲内にない場合にのみ適用するには、基本設定項目ができるようです。
Language
項目を対象とする言語を使用すると、コンピューターに適用する基本設定項目またはユーザーは、ロケールがターゲット項目で指定されている場合にのみ、処理のコンピューターにインストールされています。 その他のオプションを使用すると、ターゲット設定、ユーザーまたはコンピューターのロケールを制限することができます。 しない] を選択すると場合、は、基本設定項目は処理対象のコンピューターのロケールがターゲット項目で指定されたロケールと一致しない場合にのみ適用されますが、できます。
ロケールには、言語のおよび場合によっては、言語が話されるか、文字が使用される、地理的な地域が構成されます。 たとえば、フランス語 (カナダ) は、言語のフランス語と地理的地域のカナダで構成されますロケールです。
LDAP クエリ
LDAP クエリのターゲット項目では、LDAP クエリがターゲット項目で指定された属性の値を返す場合にのみ、コンピューターまたはユーザーに適用される基本設定項目を許可します。 しない] を選択すると場合、は、基本設定項目は LDAP クエリがターゲット項目で指定された属性の値を返さない場合にのみ適用されますが、できます。
MAC アドレス範囲
MAC アドレスの範囲がターゲット項目では、ターゲット項目で指定された範囲内では、処理対象のコンピューターの MAC アドレスのいずれかの場合にのみ、コンピューターまたはユーザーに適用される基本設定項目を許可します。 しない] を選択すると、処理対象のコンピューターの MAC アドレスのいずれもが、ターゲット項目で指定された範囲内にない場合にのみ適用するには、基本設定項目ができるようです。
範囲開始点と終了点にはが含まれます。 両方のボックスに同じ値を入力して、1 つのアドレスを指定できます。
MSI クエリ
MSI クエリのターゲット項目は、コンピューターに適用するには、基本設定項目を許可または、MSI の特定の要素が処理対象のコンピューターに、製品、更新、またはコンポーネントをインストールされている場合にのみ、ユーザーが、ターゲット項目で指定した条件に一致します。 しない] を選択すると、指定条件に、ターゲットを設定するアイテムの MSI がインストールされている製品、更新、または処理を行うコンピューター上のコンポーネントの特定の要素が、指定された一致しない場合のみに適用するには、基本設定項目ができるようです。
オペレーティング システム
オペレーティング システムがターゲット項目では、処理対象のコンピューターのオペレーティング システムの製品名、リリース、エディション、またはコンピューターのロールでは、ターゲット項目で指定されているものと一致する場合にのみ、コンピューターまたはユーザーに適用される基本設定項目をできます。 しない] を選択すると、ターゲット項目で指定されているオペレーティング システムの製品名、リリース、エディション、またはコンピューターのロールに一致しない場合にのみ適用するには、基本設定項目ができるようです。
組織単位
組織単位ターゲット項目では、ユーザーまたはコンピューターがターゲット項目で指定された組織単位 (OU) のメンバーである場合にのみ、コンピューターまたはユーザーに適用される基本設定項目を使用します。 しない] を選択すると、基本設定項目がユーザーまたはコンピューターのない場合にのみに適用される、ターゲット項目で指定した OU のメンバーです。
PCMCIA 存在
PCMCIA の存在ターゲット項目を使用するコンピューターに適用する基本設定項目またはユーザーが、処理対象のコンピューターに 1 つ以上の PCMCIA スロットがある場合にのみ存在します。 しない] を選択すると場合、は、基本設定項目は処理対象のコンピューターに PCMCIA スロットがない場合にのみ適用されますが、できます。
PCMCIA スロットは、スロット用のドライバーがインストールされているし、スロットが正しく機能している場合に存在と見なされます。
ポータブル コンピューター
ターゲット項目は、処理対象のコンピューターがポータブル コンピューターで、処理対象のコンピューター上の現在のハードウェア プロファイルで識別される場合にのみ、またはドッキング状態と、処理対象のコンピューターがポータブル コンピューターとして識別された場合に、コンピューターまたはユーザーに適用される基本設定項目を使用するポータブル コンピューターは、ターゲット項目で指定します。 しない] を選択すると、ときに、処理対象のコンピューター上の現在のハードウェア プロファイルにポータブル コンピューターとしては、処理対象のコンピューターは指定されていない場合にのみ、または処理を行うコンピューターのドッキング状態は、ターゲット項目で指定したドッキング状態とは異なる場合に適用される基本設定項目ができます。
処理モード
処理モードのターゲット項目は、グループ ポリシーの処理モードまたは処理を行うコンピューター上の条件が以上に一致する場合にのみ、コンピューターまたはユーザーに適用される基本設定項目を使用する、ターゲット項目でこれらのいずれかを指定します。 しない] を選択すると場合、は、基本設定項目は、グループ ポリシーの処理モードまたは処理を行うコンピューター上の条件がターゲット項目で指定されたこれらのいずれかに一致しない場合にのみ適用されますが、できます。
RAM
RAM のターゲット項目では、処理対象のコンピューター上の物理メモリの合計サイズが、ターゲット項目で指定された容量以上である場合にのみ、コンピューターまたはユーザーに適用される基本設定項目を使用します。 しない] を選択すると、処理対象のコンピューター上の物理メモリの総量がターゲット項目で指定された容量よりも小さい場合にのみ適用するには、基本設定項目ができるようです。 メガバイト (MB) 単位での物理メモリの総量を提供します。 物理メモリの 1 つのギガバイト (GB) は、1024年として入力します。 次の 4 つのギガバイトの物理メモリは、4096 として入力されます。
レジストリ一致
レジストリ一致のターゲット項目では、のみレジストリ キーまたはターゲット項目で指定された値が存在する場合、レジストリ値には、ターゲット項目で指定されるデータが含まれている場合、またはレジストリ値のバージョン番号がターゲット項目で指定された範囲内にある場合は、コンピューターまたはユーザーに適用される基本設定項目を使用します。 ターゲット項目は、基本設定項目を許可する場合と、値データの取り込みがターゲット項目で選択されている場合は、ターゲット項目は、ターゲット項目で指定されている環境変数に指定されたレジストリ値の値のデータを保存します。 しない] を選択すると場合、のみ、レジストリ キーまたはターゲット項目で指定された値が存在しない場合、レジストリ値は、ターゲット項目で指定されたデータを格納していない場合、またはレジストリ値のバージョン番号がターゲット項目で指定された範囲内にない場合に適用するには、基本設定項目を使用します。
セキュリティ グループ
セキュリティ グループのターゲット項目では、処理対象のコンピューターまたはユーザーが、指定されたグループが、処理対象のコンピューターまたはユーザーのプライマリ グループである場合にのみ、ターゲット項目で、必要に応じてに指定されたグループのメンバーである場合にのみ、コンピューターまたはユーザーに適用される基本設定項目をできます。 しない] を選択すると場合、は、基本設定項目は、処理対象のコンピューターまたはユーザーが、指定されたグループが、処理対象のコンピューターまたはユーザーのプライマリ グループではない場合のみ、ターゲット項目で、必要に応じてに指定されたグループのメンバーではない場合にのみ適用されますが、できます。
セキュリティ グループ
ドメイン グループ
ドメイン ローカル
グローバル グループ
ユニバーサル グループ
ローカル グループ
ローカルのグループ (組み込みのグループを含む)
Well-known
サイト
サイトのターゲット項目では、処理対象のコンピューターが、ターゲット項目で指定されている、Active Directory のサイト内である場合にのみ、コンピューターまたはユーザーに適用される基本設定項目を許可します。 しない] を選択すると、処理対象のコンピューターがターゲット項目で指定されている、Active Directory のサイト内でない場合のみに適用するには、基本設定項目ができるようです。
コレクションを対象とします。
基本設定項目に適用するターゲット項目は、論理式として評価されます。 式の中かっこで囲まれたグループを作成するターゲット コレクションを使用します。 さらに複雑な論理式を作成する他の中で 1 つのターゲット コレクションを入れ子にすることができます。
ターゲット コレクションでは、ターゲット項目のコレクションでは、結果を指定の値が true の場合にのみ、コンピューターまたはユーザーに適用される基本設定項目を使用します。 しない] を選択すると場合、は、基本設定項目は、ターゲット項目のコレクションでは、false の値に結果が指定されている場合にのみ適用されますが、できます。
ターミナル セッション
ターミナル セッションのターゲット項目では、処理を行うユーザーがログオン ターミナル サービス セッションにターゲット項目で指定された設定を使用する場合にのみ、それをユーザーに適用するには、基本設定項目を使用します。 しない] を選択すると場合、は、基本設定項目は、ユーザーがターミナル サービス セッションにログオンしていないか、または、ユーザーがログオン ターミナル サービス セッションにターゲット項目で指定された設定のない場合にのみ適用されますが、できます。
時間の範囲
時間の範囲がターゲット項目を使用すると、基本設定項目をエンドユーザーのコンピューターの現在の時刻が、ターゲット項目で指定された時間の範囲内にある場合にのみ、コンピューターまたはユーザーに適用できます。 しない] を選択すると、エンドユーザーのコンピューターの現在の時刻が、ターゲット項目で指定された範囲内にない場合にのみ適用するには、基本設定項目ができるようです。
User
ターゲット項目のユーザーでは、処理を行うユーザーがターゲット項目で指定されたユーザーである場合にのみ、それをユーザーに適用するには、基本設定項目をできます。 しない] を選択すると場合、は、基本設定項目は処理を行うユーザーがターゲット項目で指定されたユーザーではない場合にのみ適用されますが、できます。
WMI クエリ
WMI クエリがターゲット項目では、処理対象のコンピューターが WMI クエリが真と評価された場合のみ、コンピューターまたはユーザーに適用される基本設定項目をできます。 しない] を選択すると、処理対象のコンピューターには、WMI クエリが偽と評価された場合にのみ適用するには、基本設定項目ができるようです。
処理中
以前では、このドキュメントでは、グループ ポリシーの処理について説明します。 グループ ポリシーの基本設定のクライアント側拡張機能は、これらの同じ規則に従います。 そのため、リンク階層、セキュリティおよび WMI フィルター処理では、グループ ポリシーの基本設定で構成されているグループ ポリシー オブジェクトのスコープを変更できます。 スコープを変更すると、ユーザーとコンピューター可能性があります。 または、設定や基本設定項目がこれらのグループ ポリシー オブジェクトで構成されているを受けることができなくします。
ただし、グループ ポリシー基本設定のクライアント側拡張機能では、独自の内部の処理があります。 1 つのグループ ポリシー オブジェクト内で処理する 1 つのグループ ポリシー基本設定拡張機能の 1 つまたは複数の基本設定項目を構成することができます。 たとえば、1 つの GPO 内の 10 個のドライブ マップ] 基本設定項目を格納する 1 つの GPO を構成できます。
.jpeg "One GP object that includes 10 drive map items")
グループ ポリシーの処理中には、グループ ポリシー インフラストラクチャは、グループ ポリシーの拡張機能の一覧を循環します。 各拡張機能を移動するときに、グループ ポリシーの部分を処理する拡張機能に関連する情報を共有します。 拡張機能と共有する情報の重要なコンポーネントには、変更が含まれているグループ ポリシー オブジェクトの一覧ユーザーまたはコンピューターのスコープ内に存在しなくなったグループ ポリシー オブジェクトの一覧にはが含まれます。 また、グループ ポリシー インフラストラクチャは、ネットワーク接続は、低速リンクと見なされる場合など、グループ ポリシーの処理のこのインスタンスに固有の情報を提供します。
グループ ポリシーの基本設定拡張では、変更された日時とスコープのグループ ポリシー オブジェクトに関する情報を使用して、そのポリシー設定を処理します。 グループ ポリシーの基本設定のクライアント側拡張機能では、一覧の下部にある一覧の先頭から順に基本設定項目を処理します。
各基本設定項目の処理の結果は、基本設定項目で構成されているアクションによって異なります。 、アイテム レベル ターゲットを設定することができますを防ぐことも、基本設定項目はユーザーまたはコンピューターに適用します。 リストの最後に達するかなどの一般的な構成設定のために終了するまで、グループ ポリシー基本設定のクライアント側拡張機能が一覧内の各項目を適用このエラーが発生した場合は、この拡張機能の項目の処理を停止または 1 回だけ適用し、再適用しないです。 基本設定拡張では、一覧内のすべての基本設定項目を適用すると、グループ ポリシー サービスにコントロールを返します。