グループポリシーのきほん

グループポリシー のきほん Active Directory 勉強会 #7 2026-02-27 Kazuki Takai

自己紹介 • たかい （Kazuki Takai） // X（旧 Twitter）@zhuky7 • 会社員 （某ISP勤務） • サービス基盤開発、技術調査・技術開発、ライセンス関連 • wSCUGJ （Windows Server & System Center User Group Japan） • Active Directory 勉強会 • 興味分野：統合管理、ID、自動化、セキュリティ、監視・運用 • Microsoft MVP - Cloud and Datacenter Management / Microsoft Azure • @IT：Windows Server 2025 連載

• https://twitter.com/zhuky7

お話しすること • Active Directory グループポリシーの基本 • 概念・構成要素 • 動作・仕様 • （個人的な）プラクティス • 構成方針・留意点

お話ししないこと • グループポリシー管理コンソールの使い方 • グループポリシーエディターの使い方 • 各ポリシー項目の具体的な説明 • WMI フィルターの具体的な書き方 • 各種手順

Active Directory をそもそも知らない人は… • 過去の勉強会資料もご確認ください • Active Directory Domain Services の基礎 • Active Directory Domain Services の基礎 関連ツール編 • Active Directory 構築面でのお話 • Windows Server 2025 Active Directory 新機能概要

• https://www.docswell.com/s/takai/Z82D1E-Active-Directory-Domain-Services-101
• https://www.docswell.com/s/takai/53GD3V-Active-Directory-Domain-Services-102
• https://www.docswell.com/s/takai/5LLMRP-Active-Directory-Design-And-Deploy-202404
• https://www.docswell.com/s/takai/ZP234L-Windows-Server-2025-Active-Directory-New-Feature

Notice • 本セッションで説明する内容は、個 人の見解です • 間違っている、古い情報があればぜ ひ教えてください • 用語表記が正確ではない箇所がある かもしれません（ご了承ください）

グループポリシーとは

グループポリシー Microsoft Windows 環 境において、ユーザーや コンピューターの設定を 一元的に管理・制御する ための仕組み

グループポリシー • Active Directory Domain Services 環境で利用可能 • ローカル ポリシーを除く • 管理・適用対象は Windows OS • Windows クライアント（Windows 11 等） • Windows サーバー（Windows Server 2025, 2022 等） • 端末とユーザー両方の設定を制御可能 • コンピューター ポリシーとユーザー ポリシー

グループポリシーのメリット 一元管理

グループポリシーのメリット • 複数の対象に対して同一の設定を一括で適用可能 • 個別設定による設定のばらつき、ミスを防ぐ • 組織全体で統一したポリシーを適用可能 • 一貫したセキュリティ対策の実現 • 中央で集中管理することにより管理コスト削減 • 運用負荷の軽減とサービスレベルの向上

グループポリシーと Microsoft Intune グループポリシー Intune オンプレミス Active Directory クラウド クライアント端末 / サーバー機器 クライアント端末 Windows （Windows Server 含む） Windows / macOS / iOS / Android 接続前提 社内ネットワーク インターネット セキュリティ思想 従来のネットワーク境界型 ゼロトラスト ポリシー割り当て AD オブジェクト階層ベース Entra ID グループベース 設定項目 ◎ ○ ソフトウェア配布 △ ○ 管理基盤 管理対象

グループポリシーと Microsoft Intune • グループポリシーで設定可能な項目すべてを Intune で 設定できるわけではない • うまく組み合わせて管理を行う • なるべくシンプルに、競合しないように • 競合する設定を行った場合、原則としてグループポリシーの設 定が優先される（が、トラブルの元なのでやらない）

グループポリシーの構成要素

グループポリシーの構成要素 • グループポリシー オブジェクト（GPO） • コンテナ（GPC）とテンプレート（GPT）で構成 • グループポリシー コンテナ（GPC） • 主に GPO のメタ情報を保持 • グループポリシー テンプレート（GPT） • 主に GPO による実際の設定内容や実行するスクリプ トを保持

グループポリシー コンテナ（GPC） • Active Directory のオブジェクト • コンテナ オブジェクト • メタ情報を保持 • どこにリンクされているかの情報は保持していない • ドメイン パーティションに保持 • <Domain FQDN>¥System¥Policies¥<GPO GUID> • Active Directory のレプリケーションにより同期

グループポリシー コンテナ（GPC）

グループポリシー コンテナ（GPC）

グループポリシー コンテナ（GPC）

グループポリシー コンテナ（GPC） 属性 displayName flags gPCFileSysPath gPCMachineExtensionNames gPCUserExtensionNames versionNumber 値 GPO の名前 GPO が有効かどうか 0 : 有効 1 : ユーザーの構成が無効 2 : コンピューターの構成が無効 3 : すべて無効 GPT のパス コンピューターの構成を処理するクライアント側拡張 ユーザーの構成を処理するクライアント側拡張 コンピューターの構成とユーザーの構成のバージョン

グループポリシー テンプレート（GPT） • ファイルシステム上のファイル • Registry.pol とその他のリソースファイル • 配布するアプリケーション • Startup/Shutdown/Logon/Logoff Scripts • SYSVOL ファイル共有上に保持 • ¥¥<Domain FQDN>¥SYSVOL¥<Domain FQDN> ¥Policies¥<GPO GUID> • DFSR により同期

グループポリシー テンプレート（GPT）

管理用テンプレート • グループポリシーで設定できる項目（ポリシー設 定）を定義したファイル • 設定項目の定義であり、実際に設定する値を保持する ものではない • OS の機能やアプリケーション単位で提供

管理用テンプレートを構成するファイル • ADMX ファイル • 設定定義そのもの • XML ベース • 特定の言語には依存しない（全言語環境共通） • ADML ファイル • 設定項目名や説明の表示用（言語）リソース • 言語依存（日本語表示を行う場合は ja-JP が必要）

（参考）ADM ファイル • 管理用テンプレートの以前の形式 • ADMX 形式になる前の管理用テンプレートファイル • テキスト形式（Unicode） • 本体と表示用言語リソースが分離されていない • 定義の中に表示言語の情報が包含されている • 最終的な GPO に包含される（取り込まれる） • GPO 編集の都度 ADM ファイルが GPO に格納される ⇒ SYSVOL 肥大化によるパフォーマンス悪化

セントラルストア • 管理用テンプレート（ADMX/ADML ファイル）の 共通保管（参照）領域 • ¥¥<Domain FQDN>¥SYSVOL¥<Domain FQDN> ¥Policies¥PolicyDefinitions¥ • DFSR によりレプリケーション • セントラルストアに管理用テンプレートを配置すれば、 複数の環境で同じ（最新の）定義を参照可能 • ドメインコントローラーの OS バージョンが異なる場合 • OS 既定ではない、追加導入した管理用テンプレート

セントラルストア • PolicyDefinitions フォルダーは既定では存在しな いため、必要なら自分で作成

セントラルストア • グループポリシー管理エディターで編集時、定義 情報の取得元が表示される

ポリシーと基本設定 • ポリシー • 基本的に設定内容を強制する • ユーザーは UI から設定内容を変更できない • 管理者権限を持つユーザーは、直接レジストリを編集 することで一部の動作を（一時的に）変更可能 • 基本設定 • 共通のデフォルト値を設定する • 基本的にユーザーは UI から設定内容を変更可能

グループポリシーの適用先 • グループポリシーのアサイン = GPO のリンク • 有効なリンクが設定されている • リンクが有効でも、GPO のポリシーが無効設定されて いる場合は、当該ポリシーの内容は処理されない • GPO のリンク先 • ドメイン • サイト • 組織単位（OU）

異なるドメインへの GPO リンク • GPO は同一フォレスト内の別ドメインにリンク可 • リンクは可能だが、非推奨 • GPO の情報はリンク先ドメインには保持されない • OU やドメインにどの GPO がリンクしているか（GPO の情報がどこに 格納されているか）はリンク先ドメイン内参照 • GPC の情報を取得するには、GPO が存在するドメインのドメインパー ティションへのアクセスが必要 • GPT を取得するには、GPO が存在するドメインの SYSVOL からファイ ルの読み取りが必要 • ドメイン間の通信によるパフォーマンスの劣化 • 管理コストの増加（煩雑）

ちなみに… • GPMC は異なるフォレストを管理可能 • GPMC のアクセス元ユーザーが、アクセス先に対して 適切なアクセス権を持つ場合 • フォレスト間の信頼でアクセス権がある場合等 • あくまで、管理コンソールとして異なるフォレス トの GPO を操作可能である、というのみ • フォレストをまたいで GPO をリンクできるわけ ではない

グループポリシーとローカルポリシー • （狭義の）グループポリシー（ドメイン GPO） • ドメイン上のコンピューターやユーザーに対して適用 • ローカルポリシー（ローカル GPO） • Active Directory ドメインに参加していないコン ピューターを含む、すべての Windows 環境で構成可 能なポリシー • 当該デバイスのみ、または当該ローカルアカウント・ グループのみに対して適用

ローカル GPO の種類 • ローカル コンピューター ポリシー • ローカル コンピューターを対象としたコンピューターとユーザーのポリシー • 通常、ローカル ポリシーと言ったらこれを指すことが多い • ローカル コンピューター 管理者ポリシー • ローカルで管理者権限を持つユーザーに適用されるポリシー • 基本的にはローカル Administrators グループに所属するユーザーが対象 • ローカル コンピューター 非管理者ポリシー • ローカルの非管理者ユーザーに適用されるポリシー • ローカル コンピューター ローカルアカウントポリシー • 個別のローカル アカウントを対象としたポリシー

ローカル GPO の実体 C:¥Windows¥System32¥GroupPolicy¥ + DataStore¥0¥ ※ドメイン GPO のローカルキャッシュ + Machine¥ ローカル コンピューター コンピューターポリシー + User ローカル コンピューター ユーザーポリシー - gpt.ini C:¥Windows¥System32¥GroupPolicyUsers ローカル Administrator アカウント ユーザーポリシー + S-1-5-<Computer SID>-500 + S-1-5-32-544 ローカル Administrators ユーザーポリシー + S-1-5-32-545 ローカル 非管理者 ユーザーポリシー

ローカル GPO の実体

（参考）ローカルポリシーのバックアップ • ローカルポリシーのエクスポートとインポート • LGPO.exe を利用 • Microsoft Security Compliance Toolkit に含まれる • Microsoft Security Compliance Toolkit 1.0 （ダウンロー ド センター）

• https://www.microsoft.com/en-us/download/details.aspx?id=55319

グループポリシーの処理

グループポリシーの適用 • クライアント側（管理対象）が、適用対象となる GPO を判別、評価して適用処理（アクション）を 実行 • グループポリシー クライアント サービスにより 各種タイミングで処理を実施

グループポリシー クライアント サービス • Group Policy Client Service （gpsvc） • 実行エンジンとクライアント側拡張機能で構成 • 実行エンジン： GPO を取得、評価し適用する GPO を決定 • クライアント側拡張機能（CSE）： 実際にポリシーを解釈し設定（アクション）を実施

クライアント側拡張機能 • クライアント側に登録 されている CSE • レジストリの以下参照 • HKLM¥SOFTWARE ¥Microsoft ¥Windows NT ¥CurrentVersion ¥Winlogon ¥GPExtensions

適用対象となるポリシー（原則） • ターゲットに適用されるグループポリシー • ターゲットが属する OU にリンクされたポリシー • ターゲットが属する OU の上位 OU にリンクされたポリシー • ターゲットが属するドメインにリンクされたポリシー • ドメインの親子関係は影響しない • 自ドメインに直接リンクされたポリシーのみ対象 • ターゲットが属するサイトにリンクされたポリシー • ローカル ポリシー

ポリシーの優先順位（原則） • グループポリシーには優先順位が存在 ① 組織単位（OU）にリンクされたポリシー i. ターゲットが属する組織単位 ii. よりターゲットに階層が近い上位の組織単位 iii. よりドメインレベルに近い（階層が遠い）上位の組織単位 ② ドメインにリンクされたポリシー ③ サイトにリンクされたポリシー ④ ローカル ポリシー

ポリシーの適用順序（原則） • グループポリシーの適用処理 • 優先度の低いポリシーから順に処理 • 後から実行する処理で内容を上書き • ローカル → サイト → ドメイン → OU • 同一階層に複数の GPO がリンクされている場合、 リンクの順序の数字が大きいものを先に処理 • リンクの順序 = 優先度 ※処理順序の逆

ポリシーの適用順序 ② ④ ③ ⑤ ①

例外：アカウント ポリシー • アカウント ポリシーはドメイン ルートにリンクされた GPO 設定のみ有効 • サイトや OU にリンクした GPO にアカウント ポリシーの設定 が含まれていても効果はない • 同様に、ローカル ポリシーに設定が含まれていても、ドメイン 参加コンピューターやドメイン ユーザーに対して効果はない • パスワード等を細かく制御したい場合は、Fine-Grained Password Policy （FGPP）/ Password Setting Object （PSO）を利用 • ユーザー、グローバル セキュリティ グループ単位で制御可能

セキュリティ フィルター • GPO の設定が適用される対象を指定（フィルター） • デフォルトは Authenticated Users • 匿名でないユーザーとコンピューターが含まれる • 必要があれば編集・特定範囲に制限可能だが…

セキュリティ フィルター

GPO の取得処理 • グループポリシー クライアント サービスによる GPO の取得処理は、ターゲットのコンピューター アカウント コンテキストで実行される • 大昔は、ユーザー設定は適用対象のユーザー コンテキス トで処理されていたが、仕様が変更された • コンピューター アカウントに対して読み取りアクセ ス権限がないと、ユーザー設定のポリシーであって も適用できない

GPO に対するアクセス許可 • ドメイン内の一般的なコンピューターアカウントに 対して、GPO へのアクセスはデフォルト未許可 • セキュリティ フィルターに指定されたオブジェクト に対しては、自動的に読み取りと適用を許可

つまり… • Authenticated Users をフィルターから除外する場 合、別途コンピューターアカウントに対して読み取 りアクセス許可の付与が必要 • セキュリティ フィルターでコンピューターアカウントの グループを設定 • 委任タブで、個別にコンピューターアカウントのグルー プに読み取りアクセスの許可を設定 • 委任タブで、Authenticated Users に対して読み取りア クセスのみを許可（適用の許可を外す）

WMI フィルター • WMI クエリにマッチする場合に GPO を適用 • WMI クエリをあらかじめ（別途）用意 • WMI クエリを GPO にリンク（フィルター適用） • よくある例 • 特定のハードウェア（ベンダ、機種）のみ GPO 適用 • 特定のバージョン、ビルドに対してのみ GPO 適用 • やりすぎはお勧めしない • 複雑さの増加 = 将来の予測が困難 = 管理コスト増

ブロックと強制 • グループポリシーの処理原則を変更する仕組み • ブロック（継承のブロック） • 継承を打ち切り、ブロックを設定した OU をルートと して新たに継承を開始 • 強制（上書き禁止） • 後続の（もともとは優先度が高い）GPO で設定が上書 きされない

ブロック（継承のブロック） • 組織単位（OU）に設定 • ブロックを設定した組織単位より上位階層の組織 単位やドメインにリンクされた GPO の設定内容 を引き継がない（無かったものとして処理） • ブロックを設定した組織単位から下位への継承は 実施

ブロック（継承のブロック）

ブロック（継承のブロック）

強制（上書き禁止） • GPO リンクに設定 • 同一の GPO でも、リンクごとに個別設定可能 • 強制した設定は、以降の処理で上書きされない • 優先度が最も高いものとして処理される • 複数の GPO リンクが強制された場合、より上位で強 制された設定が優先 • 継承のブロックを貫通 • ブロックよりも強制が優先（強い）

強制（上書き禁止）

ループバック処理 • 通常「ユーザーの構成」はコンピューター アカウ ントではなくログインしたユーザー アカウントを ターゲットとして GPO が評価される • ループバック処理を有効化するとコンピューター アカウントをターゲットとした評価も考慮する

ループバック処理

ループバック処理モード • 無効 • ユーザー アカウントに対する GPO 評価のみ実施 • 有効：統合（マージ） • ユーザー アカウントに対する GPO 評価に加え、コンピュー ター アカウントに対する GPO 評価を実施 • コンピューター アカウントの GPO 処理を末尾に追加 • コンピューター アカウントの GPO 設定が優先 • 有効：置換 • コンピューター アカウントの GPO 評価のみ実施

GPO の状態 • GPO に対する設定（GPO 本体としての設定） • 複数リンクを設定した場合はすべてに影響 • 状態により設定される（有効な）範囲が変わる • 有効：GPO 内の全設定が処理される • コンピューターの構成の設定が無効：GPO 内のユーザーの構成 のみ設定が処理される • ユーザーの構成の設定が無効：GPO 内のコンピューターの構成 のみ設定が処理される • すべての設定が無効：GPO 内のいかなる設定も処理されない • GPC の flags として設定を保持

GPO の状態

GPO リンクの状態 • GPO リンクに対する設定 • GPO リンクの有効化オン（有効） • コンテナにリンクされた GPO の設定に基づき処理が 実行される • GPO リンクの有効化オフ（無効） • コンテナにリンク情報は保持しているが、GPO は適用 されない

グループポリシーの処理タイミング • 初回更新 • コンピューターの構成：OS 起動処理中 • ユーザーの構成：ユーザーのログオン時 • 定期的なバックグラウンド更新 • 90 ～ 120 分間隔 • 更新間隔（既定 90 分）、オフセット最大値（既定 30 分）ともに変更可能 • ネットワーク接続状態が変化した時 • ネットワークリストマネージャー（NlaSvc）からの状態変更通知を受けて、 処理がトリガーされる場合有 • 管理者による強制更新（gpupdate 等の実行時）

フォアグラウンド処理とバックグラウンド処理 • フォアグラウンド処理 • OS 起動時及びログオン時の処理 • 同期または非同期で実行 • スタートアップ / ログオンスクリプト処理を実行可能 • バックグラウンド処理 • それ以外のタイミングでの更新処理 • 非同期で実行 • 一部の CSE は処理を実行できない

同期処理と非同期処理 • 同期処理 • 処理中はユーザー操作不可 • 処理の完了後にログオン UI やデスクトップが表示される • フォアグラウンド処理におけるクライアント OS の既定動作 • 60 分以内に処理が完了する必要あり • 非同期処理 • 処理中もユーザーは操作が可能 • フォアグラウンド処理におけるサーバー OS の既定動作

同期処理と非同期処理 • 一部の CSE はデータ保護のため、同期処理のみ対応 （非同期処理では実行されない） • フォアグラウンド処理の場合は、同期処理として実行 • バックグラウンド処理の場合は、処理をスキップ • 同期処理を要求する CSE • ディスク クォータ • フォルダー リダイレクト • ドライブ マップ • ソフトウェア インストール

とりあえず 2 回再起動？ • ポリシーの評価タイミングと処理可能なタイミングに より、一度のフォアグラウンド処理ではすべての処理 を実行できない可能性がある • ドメイン コントローラーと通信可能な状態で、2 回 OS 再起動すると良いと言われる所以

グループポリシーのベスト（？）プラクティス • シンプルにする（設計・実装） • 変更前に・定期的にバックアップを取得する • Active Directory 環境を適切に監視する

シンプルにする • 何でもグループポリシーでやろうとしない • もっと適切なツールがあるかもしれない • 特に、ソフトウェア配布とか • きめ細かな対応は本当に必要か検討する • ポリシーの数が増えるほど、管理コスト増 • 本来、ドメインはセキュリティ境界 • ドメイン内のポリシーはある程度整理して単純化する • 責任をもって後任に引き継げる分量に留める

バックアップを取る • 壊れてから調べて直すのはかなり面倒（難しい） • 直接的なトラブルの多くは編集起因 • どうしても困ったら dcgpofix もあるが…

dcgpofix • 既定の GPO を復元（それ以外は対象外） • Default Domain Policy • Default Domain Controller Policy • 基本的に、ドメインのスキーマバージョンと同じ OS の dcgpofix を使用 • ドメインコントローラー構成・昇格後と同じ状態には戻 らない（色々と差分が出る） • 完全に壊れた → 編集できるレベルへの復旧位に考えたほ うが良い

dcgpofix

Active Directory 環境を監視する • Active Directory ドメイン インフラを維持するた めに必要なサービスや状態を監視 • ADDS サービス • DNS • DFS • 時刻同期 • レプリケーション状態（NTDS / SYSVOL） • トラブル切り分け時は、クライアント側の debug ロ グやポリシーの結果セットレポート等

その他 • グループポリシーやオブジェクトを編集する端末、接続 先のドメインコントローラーを固定化する • AD 関連スナップインは、原則どのドメインコントローラーに 接続しても処理可能 • GPMC は既定では PDC エミュレーターの FSMO ロールを持つ ドメインコントローラーに接続する • が、それ以外のドメインコントローラーでも編集は可能 • 複数のツールで異なるサーバに接続して作業すると、レプリ ケーションされるまでツール間で表示に差が出るので注意

その他

まとめ • グループポリシーは強力な一元管理基盤 • 適切に利用することでオペレーションコスト削減 • 可能な限りシンプルに