Active Directory のグループ ポリシーの扱いは、特に特定の GPO を特定のユーザーやコンピューターに適用しないようにしたい場合など、悪夢のような作業になることがあります。注意を怠ると、ポリシーが本来適用すべきでない場所に適用されてしまい、競合や望ましくないシステム変更が発生してしまう可能性があるため、非常に厄介です。大規模なポリシーから数台のテスト マシンを除外する場合でも、よりきめ細かい制御を設定する場合でも、適用範囲を微調整する方法を知っておくと、後々面倒な問題に悩まされることがなくなります。このガイドでは、単純なセキュリティ フィルター処理から、より高度な WMI フィルターやアイテム レベルのターゲット設定まで、特定の AD オブジェクトの GPO をブロックまたはフィルター処理するさまざまな方法について説明します。これにより、どこに何が適用されるかをより適切に把握できます。これらの方法を使用すれば、特定のポリシーが特定の設定に紛れ込むのを防ぎ、グループ ポリシー管理の混乱をいくらか軽減することができます。
Active Directoryで特定のGPOの適用を防ぐ方法
方法1: GPMCのセキュリティフィルタリングを使用する
これは、迅速な除外設定を行うための最も簡単で分かりやすい方法でしょう。基本的には、GPOの権限を調整して、特定のグループまたはユーザーのみが適用できるようにし、他のグループまたはユーザーは除外します。これは、ドメイン全体に影響を与えずに、特定のコンピューターまたはユーザーセットへのポリシー適用をブロックしたい場合に特に効果的です。対象マシンを含むセキュリティグループで「グループポリシーの適用」を拒否することで、ADはポリシー適用時にこれらのオブジェクトをスキップするように指示できます。シンプルですが、非常に効果的です。ただし、拒否権限は許可権限よりも優先されるため、権限の設定には注意が必要です。そうしないと、意図しないブロックが誤って発生してしまう可能性があります。
- グループポリシー管理コンソール (gpmc.msc)を開きます。
- 問題のGPOに移動します
- 委任タブに移動します
- 特定のセキュリティグループを割り当てるには、[追加]ボタンをクリックします。
- 除外したいグループ、ユーザー、またはコンピュータを入力します(例
gpo_WSUS_workstations_excl: - 詳細設定を押して、グループポリシーの適用を拒否に設定します
設定が完了したら、gpupdate /force影響を受けるクライアントを再起動するか、コマンドプロンプトで実行してください。その後、コマンドプロンプトを開き、実際にどのポリシーが適用されているかを確認してくださいgpresult /r。GPOが「拒否」設定によってフィルタリングされている場合は、正常に動作しています。一部のマシンでは、このキックスタートプロセスで変更を有効にする前に手動で再起動する必要がある場合があります。
プロのヒント:この方法は静的なため、除外を追加または削除するたびに、セキュリティグループを手動で更新する必要があります。より動的な方法が必要な場合は、読み進めてください。
方法2: WMIフィルターを使用してGPOアプリケーションを微調整する
ここからは少し高度になりますが、より柔軟になります。WMIフィルターを使用すると、WQLクエリを作成して、ポリシーを適用するコンピューターと適用しないコンピューターを正確に定義できます。例えば、ホスト名に「adm」を含むマシンをポリシーから除外したい場合などです。テストマシンや管理マシンの場合に便利です。このアプローチは、除外対象がハードウェアや命名規則に依存している場合に非常に便利です。この魔法は、グループポリシー管理コンソールでフィルターを作成し、GPOにリンクすることで実現します。
SELECT * FROM Win32_ComputerSystem WHERE NOT (Name LIKE '%adm%')やるべきことは次のとおりです:
- グループポリシー管理コンソールを開く
- WMIフィルターに移動する
- カスタムWQLクエリを使用して新しいWMIフィルターを作成する
- このフィルターを対象のGPOに添付します
これで、すべてのマシンが起動時またはリフレッシュ時にこのチェックを実行するようになります。クエリが偽値を返す場合(ホスト名に「adm」が含まれている場合など)、ポリシーは適用されません。少し奇妙な設定ですが、ある設定ではうまく動作しましたが、別の設定ではうまく動作しませんでした。注意点:WMIクエリは構文が完璧でないと動作が遅くなったり、扱いにくくなったりすることがありますので、まずは数台のマシンでテストしてください。
方法3: GPO設定の項目レベルのターゲット設定
GPO でグループポリシー基本設定 (GPP)を使用している場合は、項目レベルのターゲット設定ルールを設定できます。これは、複数の GPO を作成することなく、単一の GPO 内で例外を適用する際に便利です。例えば、特定のグループやコンピューターのみに設定を適用したり、今回のように一部のオブジェクトに例外を作成したりできます。設定項目の「共通」タブで項目レベルのターゲット設定を有効にし、グループメンバーシップ、ホスト名、セキュリティグループメンバーシップなどの変数属性に基づいてルールを追加するだけです。
- GPOを編集して特定の設定項目を見つけます
- アイテムレベルのターゲティングボックスをチェックする
- セキュリティグループまたはホスト名パターンにIS-NOTなどの条件を設定します
- 適用してテストし、再起動または実行します
gpupdate /force
この方法だと、条件を満たすオブジェクトのみに設定が適用され、それ以外のオブジェクトは無視されます。事前の作業は少し増えますが、一度設定すれば非常に正確です。ただし、属性やグループを変更した場合は、ターゲティングルールもそれに応じて更新する必要があることに注意してください。
GPOの除外設定の管理はすぐに複雑になりがちですが、これらの方法を組み合わせることで、非常に高度な制御が可能になります。通常、環境に応じて、シンプルさと精度のバランスが重要です。