ドメイン参加済みのコンピュータはローカルポリシーを編集可能か

SHARE

Active Directory ドメイン環境でのローカルポリシー

下記のように、最も優先度が低いとはいえドメイン環境でもローカルポリシーは反映されます。

ドメイン環境であっても、特定のコンピュータにルールや制限を適用したい場合もあるかもしれません。そのような場合は、それぞれのコンピュータで「ローカルポリシー」を定義できます。

ローカルポリシーは、ドメインやサイトやOUのGPOで上書きされる可能性が最も高いので、優先度は最も低くなります。

MCP教科書 Windows Server 2008 Active Directory より引用

Windows Server 2008(Active Director)第2版

posted with ヨメレバ
神鳥勝則/甲田章子 翔泳社 2011年11月
楽天ブックス
Amazon
Kindle
以前、「(ドメイン参加済みの)PCのローカルグループポリシーがグレーアウトして触れない」と言われた時に、「優先度低いだけで触れそうだけどなー」とは思ったものの「触れます!」と断言できなかったので、改めてローカルポリシーはドメイン参加でも触れるのかを確認します。

ドメイン参加でも編集可能か

確認前に、ローカルポリシーには「ローカルセキュリティポリシー」と「ローカルグループポリシー」の2つが存在することを理解しましょう。

ローカルセキュリティポリシー

ローカルグループポリシー

今回は、ドメイン参加後にローカルセキュリティポリシーとローカルグループポリシーそれぞれが編集可能かを確認していきます。

ドメイン参加後にローカルセキュリティポリシーが編集可能か

まず、ドメイン参加後でもローカルセキュリティポリシーの編集は可能です。

ただし、グループポリシーとして定義されているとアウトです。

例えば Default Domain Policy にはパスワードポリシーが規定で存在するので、パスワード周りの設定はローカルセキュリティポリシーで編集することはできません。

ローカルセキュリティポリシーはグループポリシーで定義されているものに関してはグレーアウトします。

ドメイン参加後にローカルグループポリシーが編集可能か

下図のように IE の Cookie の削除を禁止するグループポリシーを配布してみます。

そうすると、IE の設定画面上は項目がグレーアウトして何もできなくなっています。

ただし、実際の設定項目はグレーアウトしてもローカルグループポリシーは編集可能です

まとめ

結果をまとめると以下のようになります。

  • グループポリシーが設定されている項目のみ、ローカルセキュリティポリシーはグレーアウトして編集不可能になる
  • グループポリシーが設定されている項目のみ、実際の操作はできくなるがローカルグループポリシーの編集自体は可能。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)

前の記事

ドメインAdministratorのパスワード変更はできるのか

次の記事

「コンピュータの構成」を確認する際は【管理者権限】にご注意を!