[ホーム] > [間違えやすい類語 IT編一覧] > ["ローカルセキュリティポリシー","ドメインセキュリティポリシー","ドメインコントローラセキュリティポリシー"の違い]

"ローカルセキュリティポリシー","ドメインセキュリティポリシー","ドメインコントローラセキュリティポリシー"の違い

作成日:2020/01/29

グループポリシーの違い


このページでは Windows AD ドメイン環境におけるポリシー適用に関して説明します。
グループポリシーはドメインやOUやサイトに割り当てます。

ポリシーの適用の順番


以下の順番で適用(上書き)されます。(4)が最優先されます。

(1)ローカルセキュリティポリシー
(2)サイト
(3)ドメインセキュリティポリシーが上書き((1)とバッティングする場合のみ)。初期設定では主にアカウントポリシーが上書きされる。
(4)OU に定義されたポリシーが適用される。(OUへの定義が最優先)。ドメインコントローラのOUに定義されたポリシーが「ドメインコントローラセキュリティポリシー」として適用される。OUが階層化されている場合は子供のOUが優先。

→LSDOu と覚える。

適用タイミング


グループポリシー以下のタイミングで適用されます。
・コンピューター起動時
・ユーザーログオン時
・約90分間隔
・"gpupdate /force" で即座に適用。

結果の確認方法


以下の方法で結果の確認が可能です。
(1)
gpresult /r
gpresult /z ・・・さらに詳細

(2)mmc からスナップショット「ポリシーの結果セット」を追加し、そのメニューから「RSOPデータの生成」を実行して確認する。"各ポリシーの設定状況"及び"どのポリシーがソースになっているか"の確認が可能。

(3)ローカルセキュリティポリシー (secpol.msc)を実行。"ローカルセキュリティポリシーの確認が可能。"ここでぐレイアウトされ設定ができない場合は上位のポリシーで上書きされここでは設定できないことを表す。

Windows AD ポリシー適用順番




(注意)分かりやすく簡単に記載しており、一部の環境や分野では記載内容が異なる可能性があります。あくまでも参考程度でお読みください。

比較表

比較は以下の表の通りとなります。

説明ローカルセキュリティポリシードメインセキュリティポリシードメインコントローラセキュリティポリシー
概要すべてのPC(クライアントPC、ドメインに所属するサーバ、ドメインコントローラなど)に事前に設定されているポリシー。
ドメインに参加しない一般的なPCにも存在する。

ドメインのセキュリティポリシー。
ドメインコントローラはDomain Controllers OUに所属している。このOUに定義されているのがドメインコントローラセキュリティポリシー。
目的個々のPCのセキュリティポリシー。ドメイン全体で統一したいポリシー。アカウント関連がメイン。
ドメインコントローラで統一したいポリシー。ドメインコントローラへのアクセスなど。
初期設定ほぼすべて
主に「アカウントポリシー」。「アカウントポリシー」はドメインにリンクしている。OUにはリンクできない。

ローカルポリシー(「監査ポリシー」、「ユーザー権利の割り当て」、「セキュリティオプション」)
「アカウントポリシー」はOUに定義できないためなし。「アカウントポリシー」はドメインで統一すべきであろう。

心構え・デフォルトではドメインに参加したPCはアカウントポリシー以外はローカルのセキュリティポリシーがで適用される。
・個々のPCでローカルセキュリティポリシーを変更するのは効率悪いので、ドメインのポリシーあるいはOUのポリシーで設定すべき。
編集方法・secpol.msc あるいは あるいはメニューの「管理ツール」「ローカルセキュリティポリシー」あるいはmmc.exe からスナップショット「グループポリシーオブジェクトを追加。
・他のポリシーで優先的に上書きされている場合はぐレイアウトされていて修正でいない。


[ホーム] > [間違えやすい類語 IT編一覧]
,






【注意】本ページは著作権で保護されています。内容は何人も補償しません。時間的あるいは金銭的損失等、一切保証しません。

理解しやすく記載されており、一部不正確な記載がある可能性があります。ご自身の責任で参考にしてください。