ドメイン参加済みのコンピュータはローカルポリシーを編集可能か

Active Directory ドメイン環境でのローカルポリシー

下記のように、最も優先度が低いとはいえドメイン環境でもローカルポリシーは反映されます。

ドメイン環境であっても、特定のコンピュータにルールや制限を適用したい場合もあるかもしれません。そのような場合は、それぞれのコンピュータで「ローカルポリシー」を定義できます。

ローカルポリシーは、ドメインやサイトやOUのGPOで上書きされる可能性が最も高いので、優先度は最も低くなります。

MCP教科書 Windows Server 2008 Active Directory より引用

ドメイン参加でも編集可能か

確認前に、ローカルポリシーには「ローカルセキュリティポリシー」と「ローカルグループポリシー」の2つが存在することを理解しましょう。

ローカルセキュリティポリシー

ローカルグループポリシー

今回は、ドメイン参加後にローカルセキュリティポリシーとローカルグループポリシーそれぞれが編集可能かを確認していきます。

ドメイン参加後にローカルセキュリティポリシーが編集可能か

まず、ドメイン参加後でもローカルセキュリティポリシーの編集は可能です。

ただし、グループポリシーとして定義されているとアウトです。

例えば Default Domain Policy にはパスワードポリシーが規定で存在するので、パスワード周りの設定はローカルセキュリティポリシーで編集することはできません。

ローカルセキュリティポリシーはグループポリシーで定義されているものに関してはグレーアウトします。

ドメイン参加後にローカルグループポリシーが編集可能か

下図のように IE の Cookie の削除を禁止するグループポリシーを配布してみます。

そうすると、IE の設定画面上は項目がグレーアウトして何もできなくなっています。

ただし、実際の設定項目はグレーアウトしてもローカルグループポリシーは編集可能です

まとめ

結果をまとめると以下のようになります。

  • グループポリシーが設定されている項目のみ、ローカルセキュリティポリシーはグレーアウトして編集不可能になる
  • グループポリシーが設定されている項目のみ、実際の操作はできくなるがローカルグループポリシーの編集自体は可能。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)