PR

 正解は4です。

 今回は,グループポリシーの適用に関する問題です。MCP試験70-290(Managing and Maintaining a Microsoft Windows Server 2003 Environment)の範囲に含まれる内容です。

 グループポリシー・オブジェクト(GPO)は,サイト,ドメイン,OU単位でリンクでき,それらのオブジェクトに含まれるコンピュータまたはユーザーに対して設定できます。コンピュータやユーザーが所属するグループは対象ではないため,どこにあっても影響がありません(図1)。

図1●グループポリシーの適用対象
図1●グループポリシーの適用対象
[画像のクリックで拡大表示]

 OU内のユーザーに対してGPOを適用しないようにするには,OU構造を変更するか,セキュリティフィルタを設定します。OU構造を変更するのがよい方法ですが,他にも複数のGPOがあり,それぞれに要件が異なる場合は,必ずしも実施できるとは限りません。

 セキュリティフィルタは,GPOごとに設定できる,GPOに対する「アクセス許可」です。グループまたはユーザーに対するGPOの適用または適用拒否の設定に使用します。既定では,Authenticated Usersグループが適用されるように設定されているので,特にフィルタはかけられていません(図2)。多用すると,どのグループポリシーが適用されるのか分かりにくくなるなどのデメリットがあります。

図2●セキュリティフィルタ処理
図2●セキュリティフィルタ処理
[画像のクリックで拡大表示]

 セキュリティフィルタは,以下の手順で設定します。

1.[グループポリシーの管理]コンソールを使用して,GPOを作成し,任意のレベルに対してリンク
2.GPOのリンクをクリックし,詳細ペインの[スコープ] タブをクリック
3.[セキュリティフィルタ処理]で,適用したくないグループを追加
4.[委任]タブをクリック
5.[詳細設定]をクリックし,適用したくないグループの「グループポリシーの適用」を「拒否」に設定(図3

図3●グループポリシーの適用を拒否
図3●グループポリシーの適用を拒否

 逆に,特定のグループだけに適用したい場合は,[スコープ]タブの[セキュリティフィルタ処理]で,Authenticated Usersを削除し,適用したいグループを追加します。

 では,誤った選択肢の確認をしてみましょう。Operations部門の管理者グループを,OperationOUから移動しても,適用されるグループポリシーに影響はありません。従って,1は誤りです。

 Group Policy Creator Ownersグループは,グループポリシーの管理権限を持ちますが,適用されるグループポリシーに影響はありません。従って,2も誤りです。

 制御の委任は,OUに対する管理権限を,非管理者グループに委任するための設定です。適用されるグループポリシーに影響はありません。このため3も誤りです。