PR

 正解は2,3です。

 今回は,MCP試験70-290(Managing and Maintaining a Microsoft Windows Server 2003 Environment)の試験範囲からの問題です。グループポリシーの適用対象となるアカウントや処理される順序,グループポリシーを使用してできる設定の概要などの基本は,コンピュータやユーザー管理にかかわりがあるので,確認しておく必要があります。

 Windows 2000以降のコンピュータでは,グループポリシーが使用できます。グループポリシーは,ローカル,Active Directoryのサイト,ドメイン,OU(Organization Unit)階層単位でリンクでき,以下の順で処理されます(図1)。

図1●グループポリシーの処理順
図1●グループポリシーの処理順

 適用対象となるのは,コンピュータとユーザーです。GPO(Group Policy Object)の[コンピュータの構成]はコンピュータの起動時に,[ユーザーの構成]はユーザーのログオン時に適用され,一定時間ごとに更新されていきます。Active Directory環境では,ユーザーとコンピュータのそれぞれのアカウントがどのOUに配置されているかによって,適用されるグループポリシーが異なります。グループアカウントの配置は全く関係がありませんので注意してください(図2)。

図2●グループポリシーの適用
図2●グループポリシーの適用

 ある特定のユーザーに対してGPOを適用させたい場合は,それらのユーザーのみ別のOU階層に移動してGPOをリンクするか,GPOに対してセキュリティフィルタ処理を構成します。セキュリティフィルタは,既定ではAuthenticated UsersであればGPOが適用されるように構成されているため,ドメイン内のユーザーやコンピュータであれば特にフィルタされることはありません。

 セキュリティフィルタの設定は,[グループポリシーの管理]コンソールで行います。Windows Server 2003には,標準ではインストールされていないので,マイクロソフトのサイトからダウンロードして追加する必要があります。

 グループに対してGPOを適用させるようにセキュリティフィルタを構成するには,Authenticated Usersを削除して,GPOを適用させたいグループを追加します(図3)。

図3●セキュリティフィルタ-GPO適用
図3●セキュリティフィルタ-GPO適用
[画像のクリックで拡大表示]

 逆に,グループがGPOを適用されないようにセキュリティフィルタを構成するには,グループを追加し,GPOの[委任]タブ-[詳細設定]でGPOの適用を拒否するように設定します(図4)。

図4●セキュリティフィルタ-GPO適用拒否
図4●セキュリティフィルタ-GPO適用拒否
[画像のクリックで拡大表示]

 グループに対してGPOの適用を設定できるセキュリティフィルタは便利ですが,どのGPOが適用されるのか分かりにくくなるため,多用するべきではありません。できればOU階層を変更することで対応するとよいでしょう。

 グループアカウントがどのOUに配置されていても,GPOの適用には無関係です。従って1は誤りです。また,GPOの強制は,他のGPOによって設定が上書きされるのを防止したり,OUが上位の階層からのGPOリンクの継承をブロックしている場合にも適用されるようにするものです。グループアカウントに対して設定することはできません。従って,4も誤りです。