---
title: グループポリシーのきほん
tags:  #windows server #active directory #windows server 2025 #adds #group policy #endpoint management #intune  
author: [Kazuki Takai](https://docswell.com/user/takai)
site: [Docswell](https://www.docswell.com/)
thumbnail: https://bcdn.docswell.com/page/L73WP3KP75.jpg?width=480
description: Active Directory 勉強会 #07 の資料です。 Active Directory Domain Services におけるグループポリシーについて、基礎から解説します。使い方だけでなく、グループポリシーの動作基盤や構成要素、挙動について説明します。
published: February 27, 26
canonical: https://docswell.com/s/takai/KWR1J4-Active-Directory-Domain-Services-Group-Policy-101
---
# Page. 1

![Page Image](https://bcdn.docswell.com/page/L73WP3KP75.jpg)

グループポリシー
のきほん
Active Directory 勉強会 #7 2026-02-27
Kazuki Takai


# Page. 2

![Page Image](https://bcdn.docswell.com/page/87DKL433JG.jpg)

自己紹介
• たかい （Kazuki Takai） // X（旧 Twitter）@zhuky7
• 会社員 （某ISP勤務）
• サービス基盤開発、技術調査・技術開発、ライセンス関連
• wSCUGJ （Windows Server &amp; System Center User Group Japan）
• Active Directory 勉強会
• 興味分野：統合管理、ID、自動化、セキュリティ、監視・運用
• Microsoft MVP - Cloud and Datacenter Management / Microsoft Azure
• @IT：Windows Server 2025 連載


# Page. 3

![Page Image](https://bcdn.docswell.com/page/VJPK2M4PE8.jpg)

お話しすること
• Active Directory グループポリシーの基本
• 概念・構成要素
• 動作・仕様
• （個人的な）プラクティス
• 構成方針・留意点


# Page. 4

![Page Image](https://bcdn.docswell.com/page/2EVVD9XVEQ.jpg)

お話ししないこと
• グループポリシー管理コンソールの使い方
• グループポリシーエディターの使い方
• 各ポリシー項目の具体的な説明
• WMI フィルターの具体的な書き方
• 各種手順


# Page. 5

![Page Image](https://bcdn.docswell.com/page/57GLYZV1EL.jpg)

Active Directory をそもそも知らない人は…
• 過去の勉強会資料もご確認ください
• Active Directory Domain Services の基礎
• Active Directory Domain Services の基礎 関連ツール編
• Active Directory 構築面でのお話
• Windows Server 2025 Active Directory 新機能概要


# Page. 6

![Page Image](https://bcdn.docswell.com/page/4EQYML6NJP.jpg)

Notice
• 本セッションで説明する内容は、個
人の見解です
• 間違っている、古い情報があればぜ
ひ教えてください
• 用語表記が正確ではない箇所がある
かもしれません（ご了承ください）


# Page. 7

![Page Image](https://bcdn.docswell.com/page/KJ4WVD4371.jpg)

グループポリシーとは


# Page. 8

![Page Image](https://bcdn.docswell.com/page/LE1Y3Z4Z7G.jpg)

グループポリシー
Microsoft Windows 環
境において、ユーザーや
コンピューターの設定を
一元的に管理・制御する
ための仕組み


# Page. 9

![Page Image](https://bcdn.docswell.com/page/GEWGP9X6J2.jpg)

グループポリシー
• Active Directory Domain Services 環境で利用可能
• ローカル ポリシーを除く
• 管理・適用対象は Windows OS
• Windows クライアント（Windows 11 等）
• Windows サーバー（Windows Server 2025, 2022 等）
• 端末とユーザー両方の設定を制御可能
• コンピューター ポリシーとユーザー ポリシー


# Page. 10

![Page Image](https://bcdn.docswell.com/page/47ZLK96RJ3.jpg)

グループポリシーのメリット
一元管理


# Page. 11

![Page Image](https://bcdn.docswell.com/page/YJ6WQK21JV.jpg)

グループポリシーのメリット
• 複数の対象に対して同一の設定を一括で適用可能
• 個別設定による設定のばらつき、ミスを防ぐ
• 組織全体で統一したポリシーを適用可能
• 一貫したセキュリティ対策の実現
• 中央で集中管理することにより管理コスト削減
• 運用負荷の軽減とサービスレベルの向上


# Page. 12

![Page Image](https://bcdn.docswell.com/page/GJ5MRP2LJ4.jpg)

グループポリシーと Microsoft Intune
グループポリシー
Intune
オンプレミス Active Directory
クラウド
クライアント端末 / サーバー機器
クライアント端末
Windows （Windows Server 含む）
Windows / macOS / iOS / Android
接続前提
社内ネットワーク
インターネット
セキュリティ思想
従来のネットワーク境界型
ゼロトラスト
ポリシー割り当て
AD オブジェクト階層ベース
Entra ID グループベース
設定項目
◎
○
ソフトウェア配布
△
○
管理基盤
管理対象


# Page. 13

![Page Image](https://bcdn.docswell.com/page/9E29D6437R.jpg)

グループポリシーと Microsoft Intune
• グループポリシーで設定可能な項目すべてを Intune で
設定できるわけではない
• うまく組み合わせて管理を行う
• なるべくシンプルに、競合しないように
• 競合する設定を行った場合、原則としてグループポリシーの設
定が優先される（が、トラブルの元なのでやらない）


# Page. 14

![Page Image](https://bcdn.docswell.com/page/D7Y429M8EM.jpg)

グループポリシーの構成要素


# Page. 15

![Page Image](https://bcdn.docswell.com/page/VENY8LW9J8.jpg)

グループポリシーの構成要素
• グループポリシー オブジェクト（GPO）
• コンテナ（GPC）とテンプレート（GPT）で構成
• グループポリシー コンテナ（GPC）
• 主に GPO のメタ情報を保持
• グループポリシー テンプレート（GPT）
• 主に GPO による実際の設定内容や実行するスクリプ
トを保持


# Page. 16

![Page Image](https://bcdn.docswell.com/page/Y79PK4X3E3.jpg)

グループポリシー コンテナ（GPC）
• Active Directory のオブジェクト
• コンテナ オブジェクト
• メタ情報を保持
• どこにリンクされているかの情報は保持していない
• ドメイン パーティションに保持
• &lt;Domain FQDN&gt;¥System¥Policies¥&lt;GPO GUID&gt;
• Active Directory のレプリケーションにより同期


# Page. 17

![Page Image](https://bcdn.docswell.com/page/G78DRQ2L7D.jpg)

グループポリシー コンテナ（GPC）


# Page. 18

![Page Image](https://bcdn.docswell.com/page/L7LMKX2QJR.jpg)

グループポリシー コンテナ（GPC）


# Page. 19

![Page Image](https://bcdn.docswell.com/page/4EMY2L9KEW.jpg)

グループポリシー コンテナ（GPC）


# Page. 20

![Page Image](https://bcdn.docswell.com/page/PER9MKG6J9.jpg)

グループポリシー コンテナ（GPC）
属性
displayName
flags
gPCFileSysPath
gPCMachineExtensionNames
gPCUserExtensionNames
versionNumber
値
GPO の名前
GPO が有効かどうか
0 : 有効
1 : ユーザーの構成が無効
2 : コンピューターの構成が無効
3 : すべて無効
GPT のパス
コンピューターの構成を処理するクライアント側拡張
ユーザーの構成を処理するクライアント側拡張
コンピューターの構成とユーザーの構成のバージョン


# Page. 21

![Page Image](https://bcdn.docswell.com/page/P7XQVLXDEX.jpg)

グループポリシー テンプレート（GPT）
• ファイルシステム上のファイル
• Registry.pol とその他のリソースファイル
• 配布するアプリケーション
• Startup/Shutdown/Logon/Logoff Scripts
• SYSVOL ファイル共有上に保持
• ¥¥&lt;Domain FQDN&gt;¥SYSVOL¥&lt;Domain FQDN&gt;
¥Policies¥&lt;GPO GUID&gt;
• DFSR により同期


# Page. 22

![Page Image](https://bcdn.docswell.com/page/37K9QLWD7D.jpg)

グループポリシー テンプレート（GPT）


# Page. 23

![Page Image](https://bcdn.docswell.com/page/LJ3WP31PJ5.jpg)

管理用テンプレート
• グループポリシーで設定できる項目（ポリシー設
定）を定義したファイル
• 設定項目の定義であり、実際に設定する値を保持する
ものではない
• OS の機能やアプリケーション単位で提供


# Page. 24

![Page Image](https://bcdn.docswell.com/page/8JDKL4X3EG.jpg)

管理用テンプレートを構成するファイル
• ADMX ファイル
• 設定定義そのもの
• XML ベース
• 特定の言語には依存しない（全言語環境共通）
• ADML ファイル
• 設定項目名や説明の表示用（言語）リソース
• 言語依存（日本語表示を行う場合は ja-JP が必要）


# Page. 25

![Page Image](https://bcdn.docswell.com/page/VEPK2MPP78.jpg)

（参考）ADM ファイル
• 管理用テンプレートの以前の形式
• ADMX 形式になる前の管理用テンプレートファイル
• テキスト形式（Unicode）
• 本体と表示用言語リソースが分離されていない
• 定義の中に表示言語の情報が包含されている
• 最終的な GPO に包含される（取り込まれる）
• GPO 編集の都度 ADM ファイルが GPO に格納される
⇒ SYSVOL 肥大化によるパフォーマンス悪化


# Page. 26

![Page Image](https://bcdn.docswell.com/page/27VVD92V7Q.jpg)

セントラルストア
• 管理用テンプレート（ADMX/ADML ファイル）の
共通保管（参照）領域
• ¥¥&lt;Domain FQDN&gt;¥SYSVOL¥&lt;Domain FQDN&gt;
¥Policies¥PolicyDefinitions¥
• DFSR によりレプリケーション
• セントラルストアに管理用テンプレートを配置すれば、
複数の環境で同じ（最新の）定義を参照可能
• ドメインコントローラーの OS バージョンが異なる場合
• OS 既定ではない、追加導入した管理用テンプレート


# Page. 27

![Page Image](https://bcdn.docswell.com/page/5JGLYZR17L.jpg)

セントラルストア
• PolicyDefinitions フォルダーは既定では存在しな
いため、必要なら自分で作成


# Page. 28

![Page Image](https://bcdn.docswell.com/page/47QYMLVNEP.jpg)

セントラルストア
• グループポリシー管理エディターで編集時、定義
情報の取得元が表示される


# Page. 29

![Page Image](https://bcdn.docswell.com/page/KE4WVDM3J1.jpg)

ポリシーと基本設定
• ポリシー
• 基本的に設定内容を強制する
• ユーザーは UI から設定内容を変更できない
• 管理者権限を持つユーザーは、直接レジストリを編集
することで一部の動作を（一時的に）変更可能
• 基本設定
• 共通のデフォルト値を設定する
• 基本的にユーザーは UI から設定内容を変更可能


# Page. 30

![Page Image](https://bcdn.docswell.com/page/L71Y3Z8ZJG.jpg)

グループポリシーの適用先
• グループポリシーのアサイン = GPO のリンク
• 有効なリンクが設定されている
• リンクが有効でも、GPO のポリシーが無効設定されて
いる場合は、当該ポリシーの内容は処理されない
• GPO のリンク先
• ドメイン
• サイト
• 組織単位（OU）


# Page. 31

![Page Image](https://bcdn.docswell.com/page/G7WGP9Z6E2.jpg)

異なるドメインへの GPO リンク
• GPO は同一フォレスト内の別ドメインにリンク可
• リンクは可能だが、非推奨
• GPO の情報はリンク先ドメインには保持されない
• OU やドメインにどの GPO がリンクしているか（GPO の情報がどこに
格納されているか）はリンク先ドメイン内参照
• GPC の情報を取得するには、GPO が存在するドメインのドメインパー
ティションへのアクセスが必要
• GPT を取得するには、GPO が存在するドメインの SYSVOL からファイ
ルの読み取りが必要
• ドメイン間の通信によるパフォーマンスの劣化
• 管理コストの増加（煩雑）


# Page. 32

![Page Image](https://bcdn.docswell.com/page/4JZLK91RE3.jpg)

ちなみに…
• GPMC は異なるフォレストを管理可能
• GPMC のアクセス元ユーザーが、アクセス先に対して
適切なアクセス権を持つ場合
• フォレスト間の信頼でアクセス権がある場合等
• あくまで、管理コンソールとして異なるフォレス
トの GPO を操作可能である、というのみ
• フォレストをまたいで GPO をリンクできるわけ
ではない


# Page. 33

![Page Image](https://bcdn.docswell.com/page/YE6WQKL1EV.jpg)

グループポリシーとローカルポリシー
• （狭義の）グループポリシー（ドメイン GPO）
• ドメイン上のコンピューターやユーザーに対して適用
• ローカルポリシー（ローカル GPO）
• Active Directory ドメインに参加していないコン
ピューターを含む、すべての Windows 環境で構成可
能なポリシー
• 当該デバイスのみ、または当該ローカルアカウント・
グループのみに対して適用


# Page. 34

![Page Image](https://bcdn.docswell.com/page/GE5MRP1LE4.jpg)

ローカル GPO の種類
• ローカル コンピューター ポリシー
• ローカル コンピューターを対象としたコンピューターとユーザーのポリシー
• 通常、ローカル ポリシーと言ったらこれを指すことが多い
• ローカル コンピューター 管理者ポリシー
• ローカルで管理者権限を持つユーザーに適用されるポリシー
• 基本的にはローカル Administrators グループに所属するユーザーが対象
• ローカル コンピューター 非管理者ポリシー
• ローカルの非管理者ユーザーに適用されるポリシー
• ローカル コンピューター ローカルアカウントポリシー
• 個別のローカル アカウントを対象としたポリシー


# Page. 35

![Page Image](https://bcdn.docswell.com/page/9729D613JR.jpg)

ローカル GPO の実体
C:¥Windows¥System32¥GroupPolicy¥
+ DataStore¥0¥
※ドメイン GPO のローカルキャッシュ
+ Machine¥
ローカル コンピューター コンピューターポリシー
+ User
ローカル コンピューター ユーザーポリシー
- gpt.ini
C:¥Windows¥System32¥GroupPolicyUsers
ローカル Administrator アカウント ユーザーポリシー
+ S-1-5-&lt;Computer SID&gt;-500
+ S-1-5-32-544
ローカル Administrators ユーザーポリシー
+ S-1-5-32-545
ローカル 非管理者 ユーザーポリシー


# Page. 36

![Page Image](https://bcdn.docswell.com/page/DJY429Z87M.jpg)

ローカル GPO の実体


# Page. 37

![Page Image](https://bcdn.docswell.com/page/V7NY8L39E8.jpg)

（参考）ローカルポリシーのバックアップ
• ローカルポリシーのエクスポートとインポート
• LGPO.exe を利用
• Microsoft Security Compliance Toolkit に含まれる
• Microsoft Security Compliance Toolkit 1.0 （ダウンロー
ド センター）


# Page. 38

![Page Image](https://bcdn.docswell.com/page/YJ9PK49373.jpg)

グループポリシーの処理


# Page. 39

![Page Image](https://bcdn.docswell.com/page/GJ8DRQ9LJD.jpg)

グループポリシーの適用
• クライアント側（管理対象）が、適用対象となる
GPO を判別、評価して適用処理（アクション）を
実行
• グループポリシー クライアント サービスにより
各種タイミングで処理を実施


# Page. 40

![Page Image](https://bcdn.docswell.com/page/LJLMKXWQER.jpg)

グループポリシー クライアント サービス
• Group Policy Client Service （gpsvc）
• 実行エンジンとクライアント側拡張機能で構成
• 実行エンジン：
GPO を取得、評価し適用する GPO を決定
• クライアント側拡張機能（CSE）：
実際にポリシーを解釈し設定（アクション）を実施


# Page. 41

![Page Image](https://bcdn.docswell.com/page/47MY2LYK7W.jpg)

クライアント側拡張機能
• クライアント側に登録
されている CSE
• レジストリの以下参照
• HKLM¥SOFTWARE
¥Microsoft
¥Windows NT
¥CurrentVersion
¥Winlogon
¥GPExtensions


# Page. 42

![Page Image](https://bcdn.docswell.com/page/P7R9MK96E9.jpg)

適用対象となるポリシー（原則）
• ターゲットに適用されるグループポリシー
• ターゲットが属する OU にリンクされたポリシー
• ターゲットが属する OU の上位 OU にリンクされたポリシー
• ターゲットが属するドメインにリンクされたポリシー
• ドメインの親子関係は影響しない
• 自ドメインに直接リンクされたポリシーのみ対象
• ターゲットが属するサイトにリンクされたポリシー
• ローカル ポリシー


# Page. 43

![Page Image](https://bcdn.docswell.com/page/PJXQVLQD7X.jpg)

ポリシーの優先順位（原則）
• グループポリシーには優先順位が存在
① 組織単位（OU）にリンクされたポリシー
i.
ターゲットが属する組織単位
ii. よりターゲットに階層が近い上位の組織単位
iii. よりドメインレベルに近い（階層が遠い）上位の組織単位
② ドメインにリンクされたポリシー
③ サイトにリンクされたポリシー
④ ローカル ポリシー


# Page. 44

![Page Image](https://bcdn.docswell.com/page/3JK9QL9DJD.jpg)

ポリシーの適用順序（原則）
• グループポリシーの適用処理
• 優先度の低いポリシーから順に処理
• 後から実行する処理で内容を上書き
• ローカル → サイト → ドメイン → OU
• 同一階層に複数の GPO がリンクされている場合、
リンクの順序の数字が大きいものを先に処理
• リンクの順序 = 優先度 ※処理順序の逆


# Page. 45

![Page Image](https://bcdn.docswell.com/page/LE3WP3WPE5.jpg)

ポリシーの適用順序
②
④
③
⑤
①


# Page. 46

![Page Image](https://bcdn.docswell.com/page/8EDKL4K37G.jpg)

例外：アカウント ポリシー
• アカウント ポリシーはドメイン ルートにリンクされた
GPO 設定のみ有効
• サイトや OU にリンクした GPO にアカウント ポリシーの設定
が含まれていても効果はない
• 同様に、ローカル ポリシーに設定が含まれていても、ドメイン
参加コンピューターやドメイン ユーザーに対して効果はない
• パスワード等を細かく制御したい場合は、Fine-Grained
Password Policy （FGPP）/ Password Setting Object
（PSO）を利用
• ユーザー、グローバル セキュリティ グループ単位で制御可能


# Page. 47

![Page Image](https://bcdn.docswell.com/page/V7PK2MKPJ8.jpg)

セキュリティ フィルター
• GPO の設定が適用される対象を指定（フィルター）
• デフォルトは Authenticated Users
• 匿名でないユーザーとコンピューターが含まれる
• 必要があれば編集・特定範囲に制限可能だが…


# Page. 48

![Page Image](https://bcdn.docswell.com/page/2JVVD9VVJQ.jpg)

セキュリティ フィルター


# Page. 49

![Page Image](https://bcdn.docswell.com/page/5EGLYZL1JL.jpg)

GPO の取得処理
• グループポリシー クライアント サービスによる
GPO の取得処理は、ターゲットのコンピューター
アカウント コンテキストで実行される
• 大昔は、ユーザー設定は適用対象のユーザー コンテキス
トで処理されていたが、仕様が変更された
• コンピューター アカウントに対して読み取りアクセ
ス権限がないと、ユーザー設定のポリシーであって
も適用できない


# Page. 50

![Page Image](https://bcdn.docswell.com/page/4JQYMLYN7P.jpg)

GPO に対するアクセス許可
• ドメイン内の一般的なコンピューターアカウントに
対して、GPO へのアクセスはデフォルト未許可
• セキュリティ フィルターに指定されたオブジェクト
に対しては、自動的に読み取りと適用を許可


# Page. 51

![Page Image](https://bcdn.docswell.com/page/K74WVDW3E1.jpg)

つまり…
• Authenticated Users をフィルターから除外する場
合、別途コンピューターアカウントに対して読み取
りアクセス許可の付与が必要
• セキュリティ フィルターでコンピューターアカウントの
グループを設定
• 委任タブで、個別にコンピューターアカウントのグルー
プに読み取りアクセスの許可を設定
• 委任タブで、Authenticated Users に対して読み取りア
クセスのみを許可（適用の許可を外す）


# Page. 52

![Page Image](https://bcdn.docswell.com/page/LJ1Y3ZYZEG.jpg)

WMI フィルター
• WMI クエリにマッチする場合に GPO を適用
• WMI クエリをあらかじめ（別途）用意
• WMI クエリを GPO にリンク（フィルター適用）
• よくある例
• 特定のハードウェア（ベンダ、機種）のみ GPO 適用
• 特定のバージョン、ビルドに対してのみ GPO 適用
• やりすぎはお勧めしない
• 複雑さの増加 = 将来の予測が困難 = 管理コスト増


# Page. 53

![Page Image](https://bcdn.docswell.com/page/GJWGP9G672.jpg)

ブロックと強制
• グループポリシーの処理原則を変更する仕組み
• ブロック（継承のブロック）
• 継承を打ち切り、ブロックを設定した OU をルートと
して新たに継承を開始
• 強制（上書き禁止）
• 後続の（もともとは優先度が高い）GPO で設定が上書
きされない


# Page. 54

![Page Image](https://bcdn.docswell.com/page/4EZLK9LR73.jpg)

ブロック（継承のブロック）
• 組織単位（OU）に設定
• ブロックを設定した組織単位より上位階層の組織
単位やドメインにリンクされた GPO の設定内容
を引き継がない（無かったものとして処理）
• ブロックを設定した組織単位から下位への継承は
実施


# Page. 55

![Page Image](https://bcdn.docswell.com/page/Y76WQKW17V.jpg)

ブロック（継承のブロック）


# Page. 56

![Page Image](https://bcdn.docswell.com/page/G75MRPML74.jpg)

ブロック（継承のブロック）


# Page. 57

![Page Image](https://bcdn.docswell.com/page/9J29D693ER.jpg)

強制（上書き禁止）
• GPO リンクに設定
• 同一の GPO でも、リンクごとに個別設定可能
• 強制した設定は、以降の処理で上書きされない
• 優先度が最も高いものとして処理される
• 複数の GPO リンクが強制された場合、より上位で強
制された設定が優先
• 継承のブロックを貫通
• ブロックよりも強制が優先（強い）


# Page. 58

![Page Image](https://bcdn.docswell.com/page/DEY42948JM.jpg)

強制（上書き禁止）


# Page. 59

![Page Image](https://bcdn.docswell.com/page/VJNY8LY978.jpg)

ループバック処理
• 通常「ユーザーの構成」はコンピューター アカウ
ントではなくログインしたユーザー アカウントを
ターゲットとして GPO が評価される
• ループバック処理を有効化するとコンピューター
アカウントをターゲットとした評価も考慮する


# Page. 60

![Page Image](https://bcdn.docswell.com/page/YE9PK4P3J3.jpg)

ループバック処理


# Page. 61

![Page Image](https://bcdn.docswell.com/page/GE8DRQDLED.jpg)

ループバック処理モード
• 無効
• ユーザー アカウントに対する GPO 評価のみ実施
• 有効：統合（マージ）
• ユーザー アカウントに対する GPO 評価に加え、コンピュー
ター アカウントに対する GPO 評価を実施
• コンピューター アカウントの GPO 処理を末尾に追加
• コンピューター アカウントの GPO 設定が優先
• 有効：置換
• コンピューター アカウントの GPO 評価のみ実施


# Page. 62

![Page Image](https://bcdn.docswell.com/page/LELMKXMQ7R.jpg)

GPO の状態
• GPO に対する設定（GPO 本体としての設定）
• 複数リンクを設定した場合はすべてに影響
• 状態により設定される（有効な）範囲が変わる
• 有効：GPO 内の全設定が処理される
• コンピューターの構成の設定が無効：GPO 内のユーザーの構成
のみ設定が処理される
• ユーザーの構成の設定が無効：GPO 内のコンピューターの構成
のみ設定が処理される
• すべての設定が無効：GPO 内のいかなる設定も処理されない
• GPC の flags として設定を保持


# Page. 63

![Page Image](https://bcdn.docswell.com/page/4JMY2L6KJW.jpg)

GPO の状態


# Page. 64

![Page Image](https://bcdn.docswell.com/page/PJR9MKP679.jpg)

GPO リンクの状態
• GPO リンクに対する設定
• GPO リンクの有効化オン（有効）
• コンテナにリンクされた GPO の設定に基づき処理が
実行される
• GPO リンクの有効化オフ（無効）
• コンテナにリンク情報は保持しているが、GPO は適用
されない


# Page. 65

![Page Image](https://bcdn.docswell.com/page/PEXQVL3DJX.jpg)

グループポリシーの処理タイミング
• 初回更新
• コンピューターの構成：OS 起動処理中
• ユーザーの構成：ユーザーのログオン時
• 定期的なバックグラウンド更新
• 90 ～ 120 分間隔
• 更新間隔（既定 90 分）、オフセット最大値（既定 30 分）ともに変更可能
• ネットワーク接続状態が変化した時
• ネットワークリストマネージャー（NlaSvc）からの状態変更通知を受けて、
処理がトリガーされる場合有
• 管理者による強制更新（gpupdate 等の実行時）


# Page. 66

![Page Image](https://bcdn.docswell.com/page/3EK9QLYDED.jpg)

フォアグラウンド処理とバックグラウンド処理
• フォアグラウンド処理
• OS 起動時及びログオン時の処理
• 同期または非同期で実行
• スタートアップ / ログオンスクリプト処理を実行可能
• バックグラウンド処理
• それ以外のタイミングでの更新処理
• 非同期で実行
• 一部の CSE は処理を実行できない


# Page. 67

![Page Image](https://bcdn.docswell.com/page/L73WP39P75.jpg)

同期処理と非同期処理
• 同期処理
• 処理中はユーザー操作不可
• 処理の完了後にログオン UI やデスクトップが表示される
• フォアグラウンド処理におけるクライアント OS の既定動作
• 60 分以内に処理が完了する必要あり
• 非同期処理
• 処理中もユーザーは操作が可能
• フォアグラウンド処理におけるサーバー OS の既定動作


# Page. 68

![Page Image](https://bcdn.docswell.com/page/87DKL4G3JG.jpg)

同期処理と非同期処理
• 一部の CSE はデータ保護のため、同期処理のみ対応
（非同期処理では実行されない）
• フォアグラウンド処理の場合は、同期処理として実行
• バックグラウンド処理の場合は、処理をスキップ
• 同期処理を要求する CSE
• ディスク クォータ
• フォルダー リダイレクト
• ドライブ マップ
• ソフトウェア インストール


# Page. 69

![Page Image](https://bcdn.docswell.com/page/VJPK2M3PE8.jpg)

とりあえず 2 回再起動？
• ポリシーの評価タイミングと処理可能なタイミングに
より、一度のフォアグラウンド処理ではすべての処理
を実行できない可能性がある
• ドメイン コントローラーと通信可能な状態で、2 回
OS 再起動すると良いと言われる所以


# Page. 70

![Page Image](https://bcdn.docswell.com/page/2EVVD94VEQ.jpg)

グループポリシーのベスト（？）プラクティス
• シンプルにする（設計・実装）
• 変更前に・定期的にバックアップを取得する
• Active Directory 環境を適切に監視する


# Page. 71

![Page Image](https://bcdn.docswell.com/page/57GLYZ11EL.jpg)

シンプルにする
• 何でもグループポリシーでやろうとしない
• もっと適切なツールがあるかもしれない
• 特に、ソフトウェア配布とか
• きめ細かな対応は本当に必要か検討する
• ポリシーの数が増えるほど、管理コスト増
• 本来、ドメインはセキュリティ境界
• ドメイン内のポリシーはある程度整理して単純化する
• 責任をもって後任に引き継げる分量に留める


# Page. 72

![Page Image](https://bcdn.docswell.com/page/4EQYMLDNJP.jpg)

バックアップを取る
• 壊れてから調べて直すのはかなり面倒（難しい）
• 直接的なトラブルの多くは編集起因
• どうしても困ったら dcgpofix もあるが…


# Page. 73

![Page Image](https://bcdn.docswell.com/page/KJ4WVDZ371.jpg)

dcgpofix
• 既定の GPO を復元（それ以外は対象外）
• Default Domain Policy
• Default Domain Controller Policy
• 基本的に、ドメインのスキーマバージョンと同じ OS の
dcgpofix を使用
• ドメインコントローラー構成・昇格後と同じ状態には戻
らない（色々と差分が出る）
• 完全に壊れた → 編集できるレベルへの復旧位に考えたほ
うが良い


# Page. 74

![Page Image](https://bcdn.docswell.com/page/LE1Y3ZRZ7G.jpg)

dcgpofix


# Page. 75

![Page Image](https://bcdn.docswell.com/page/GEWGP916J2.jpg)

Active Directory 環境を監視する
• Active Directory ドメイン インフラを維持するた
めに必要なサービスや状態を監視
• ADDS サービス
• DNS
• DFS
• 時刻同期
• レプリケーション状態（NTDS / SYSVOL）
• トラブル切り分け時は、クライアント側の debug ロ
グやポリシーの結果セットレポート等


# Page. 76

![Page Image](https://bcdn.docswell.com/page/47ZLK9PRJ3.jpg)

その他
• グループポリシーやオブジェクトを編集する端末、接続
先のドメインコントローラーを固定化する
• AD 関連スナップインは、原則どのドメインコントローラーに
接続しても処理可能
• GPMC は既定では PDC エミュレーターの FSMO ロールを持つ
ドメインコントローラーに接続する
• が、それ以外のドメインコントローラーでも編集は可能
• 複数のツールで異なるサーバに接続して作業すると、レプリ
ケーションされるまでツール間で表示に差が出るので注意


# Page. 77

![Page Image](https://bcdn.docswell.com/page/YJ6WQKM1JV.jpg)

その他


# Page. 78

![Page Image](https://bcdn.docswell.com/page/GJ5MRPZLJ4.jpg)

まとめ
• グループポリシーは強力な一元管理基盤
• 適切に利用することでオペレーションコスト削減
• 可能な限りシンプルに