Presented by DMZ. (非武装エリア)
最終更新日: 2020年2月7日
(This site is not official.)

ポリシーの適用範囲

グループポリシーは利用機器やユーザ毎に異なったポリシーを適用させる事が可能です。 例えば、全社に共通のポリシーをすべてのユーザに適用した上で、営業用や総務用、Windows10とそれ以外のWindows毎に異なったポリシーを適用するといった事ができるようになっています。

組織単位

グループポリシーを最適に適用するには、組織単位(OU:Organizational Unit)を利用するのが基本となります。 組織単ととは、それぞれ同じ業務を遂行する人や、同じ地域に属するといった何らかの属性でグルーピングできる単位の事です。 このグルーピングされた単位ごとにポリシーを適用するのが基本のポリシー適用範囲になります。
OUは、「グループポリシー管理エディタ」または「Active Directoryユーザーとコンピュータ」といった管理ツールで作成できます。
以下では、グループポリシー管理エディタを使って"Tokyo", "Osaka","Eigyo","Keiri","Somu"といったOUを作成した画面です。

こうする事で、全社共通のポリシーは"Default Domain Policy"で指定して、各OUには専用のポリシーを追加で設定していく事が可能になります。


セキュリティグループ

グループポリシーの適用範囲の指定に、セキュリティグループを利用することも可能です。 セキュリティグループは予め「Active Directoryユーザーとコンピュータ」で作成しておきます。
適用したいグループポリシーを作成後に、作成したグループポリシーを「グループポリシーの管理」で選択するとそのポリシーの詳細設定画面が表示されるので、ここでこのポリシーを適用できるグループを指定する事で、このグループ以外にはポリシーが適用されないようになります。
下の画面は、"Default Domain Pokicy"のセキュリティグループの状態ですが、この場合"Authenticated User"となっているので、ADで認証されたすべてのユーザとコンピュータにこのポリシーが適用される事が判ります。

WMIフィルター

Windowsコンピュータには、各コンピュータ内にそのコンピュータのシステム状態を記録したデータベースが保持されています。これを読み取り利用することで、特定のシステムだけにグループポリシーを適用する事が可能になります。 例えば、ドメインコントローラ以外のWindows10系OS(Windows10、 Windows Server 2019)にだけグループポリシーを適用したいなら、WMIフィルターで対象のOSを検索して、それをグループポリシーに適用することでそれ以外のOSにはポリシーが適用されないようにできます。
以下の画面は、WMIフィルターで"Win10CL-SV"というWindows 10系の検索フィルターを作成してこれを''Windows10'というグループポリシーオブジェクトに適用しています。
これにより、YokyoというOUに所属するすべてのコンピュータのうち、WMIで対象となるコンピュータにこのポリシーが適用される事になります。

WMI府フィルターの参考: 「指定したバージョンの Windows を照会する WMI フィルターを作成するには