この記事シリーズの他の部分を読むことを望んだらに行って下さい:
- グループポリシーが適用されないトップ10の理由(パート1)
- グループポリシーが適用されないトップ10の理由(パート2)
はじめに
このトピックの最初の二つの分割払いでは、グループポリシーが環境で正常に動作しない7つの理由を見ました。 これらの7つの理由を振り返ってみると、グループポリシーに関するいくつかの重要な要因が明らかになりました。 まず、グループポリシーは、DNSを介したドメインコントローラーへの適切な認証、認証プロトコルにKerberosの使用、管理の範囲、およびGPOの各設定に適切なオブジェク 次に、GPO precedence(LSDOU)とセキュリティフィルタリングを調べました。 この記事では、オーバーライドなし、ブロック継承、およびWMIフィルターについて説明します。
強制(上書きなし)は、GPO
に既定で設定されています構成されているすべてのGPOには、セキュリティフィルター、強制(上書きなし)、ブロック継承などがありません。 しかし、誰かがこれらの機能のいずれかを設定する時間があるかもしれません。 私たちはセキュリティフィルタリングを見ましたが、今は強制(上書きなし)を見ています。 強制(上書きなし)は、GPO内のすべての設定とともにGPOに課される設定であり、競合する設定がある場合に優先順位の高いGPOが”勝利”しないようにします。
GPOの継承はLSDOU(ローカル、サイト、ドメイン、OU)で動作することを理解することが重要です。 GPOに上書きを設定しないと、この優先順位の概念は無効になります。 強制(上書きなし)は、問題のGPOを他のGPOによって上書きされないように設定します(既定ではもちろん)。
ここでの良い例は、強制(上書きなし)の既定のドメインポリシーを設定して、ドメインユーザーのドメインのGPOまたはOU内にあるコンピューターのローカルSAMユーザーのouでパスワードポリシー設定がトランピングされないようにすることです。 これは、図1の既定のドメインポリシーで設定されていることがわかります。
図1:
強制(上書きなし)は、既定のドメインポリシーに設定されています。
Enforced(上書きなし)を設定するときに考慮すべき点がいくつかあります。 まず、GPOは、GPOがAD構造を介してリンクされている場所から最も高い優先順位に設定されます。 次に、優先順位の高いGPO(この例ではOUレベルなど)も強制(上書きなし)に設定されている場合、AD構造で上位にリンクされているGPOよりも優先順位が高 これは、OU管理者がドメイン管理者よりも高い優先順位を持つようにGPOを設定できないようにするためです。
ブロック継承はActive Directoryノード
に設定されています定期的に使用することは推奨されていませんが、Active Directoryを介して標準グループポリシー処理の継承をブロ この一連の記事で何度も言及されているように、LSDOUの優先順位は、グループポリシーの適用と競合の解決のために遵守されています。
ブロック継承機能は、ドメインノードまたは組織単位のいずれかに設定されている機能です。 サイトにリンクされたGPOを持つことはできますが、サイトにリンクされたGPOよりも優先順位が弱いGPOはローカルであり、ローカルGpoはこの機能でブロ
この機能が行うことは、ブロック継承設定が確立されているレベルに関連付けられているすべての弱い優先順位Gpoをブロックすることです。 そのため、ブロック継承が第2レベルOUに設定されている場合、ドメインと最上位レベルOUに設定されたすべてのGpoはブロックされ、第2レベルOUに 2番目のレベルのOUにリンクされているGpoのみが効果を持ちます。 もちろん、2番目のレベルのOuの下にさらにレベルがある場合、これらのGpoも有効であり、優先順位が弱いGpoも有効ではありません。 これがGpoにどのように影響するかは、図2と図3を参照して確認できます。 図2にはブロック継承が設定されていませんが、図3には2番目のレベルのOUで設定が設定されています。
図2:第2レベルOUでの標準GPOの優先順位と継承
図3:
ブロック継承は、2番目のレベルのOUで設定されています。
WMIフィルターが正しくありません
WMIフィルターは、GPOの設定を受け取るオブジェクト(ユーザーまたはコンピューター)を制御する強力な方法です。 WMIフィルターは、1つ以上のGpoにリンクされているスタンドアロンファイルです。 各GPOのグループポリシー設定が評価されると、WMIフィルターは、WMIフィルターに含まれているクエリが正または負の値に戻ったかどうかを判断します。 Wmiフィルターの条件を満たす肯定的な場合は、WMIフィルターがリンクされているGPOの設定が適用されます。
もちろん、WMIフィルターによってGPOが失敗したように見える多くの領域がこのプロセスにある可能性がある場所を確認できます。 まず、WMIフィルターファイルが変更または削除されたが、WMIフィルターリンクがそのまま残っている場合、WMIフィルターは満たされないため、GPOの設定は適用さ 次に、wmiフィルターに構文エラーが発生し、クエリが失敗すると、GPOの設定も適用できなくなります。 最後に、クエリの設計が間違っている場合、またはWMIクエリの成功のためのロジックが間違っている場合、GPO設定は適用されません。
WMIフィルターは、GPO内のすべての設定を適用から無効にすることができる多くの領域があり、WMIフィルターの評価と適用が非常に遅いため、他のオプシ グループポリシーの基本設定にあるアイテムレベルのターゲット設定(ILT)でも、ILT内でも問題が発生する可能性があるため、WMIフィルターは慎重に使用してくださ
概要
この一連の記事では、グループポリシーが失敗する可能性がある、または少なくとも失敗しているかのように見える10の異なる方法を見ました。 実際には、グループポリシー自体が失敗することはめったにありません。 一般的に失敗するのは、GPO、リンク、グループポリシー構造などの構成です。 これが正しくないため、GPOと設定が目的のターゲットに適用されません。 私は常にグループポリシーの基本と基礎に戻ることは、コアの問題が根ざしている場所を追跡するのに役立つことをお勧めします。 また、私は、コア、基本的な構成は、グループポリシーの問題の大部分を引き起こすことがわかります。 経験則として、OU構造を使用してグループポリシー設定を展開し、OU内のすべてのオブジェクトが設定を受け取るようにしてください。 グループポリシーの既定のアクセス許可、アプリケーション、および優先順位を変更しようとすると、問題が実際に積み重なり始める場所です。 非常にまれな状況でのみ、セキュリティフィルター、ブロック継承、強制、WMIフィルターなどの機能を使用することをお勧めします。 これらのオプションや機能を使用しないことで、グループポリシー環境をよりシンプルで安定した状態に保ち、実際の問題が発生したときのトラブルシューテ
この記事シリーズの他の部分を読みたい場合は、に行ってください:
- グループポリシーが適用されないトップ10の理由(パート1)
- グループポリシーが適用されないトップ10の理由(パート1)2)
この広告をレポートします