ポリシーの有効化/無効化

コンピュータ/ユーザーに対してポリシーを有効にするには、グループ レベルで有効化する必要があります (ポリシーはグループ レベルのみで有効化できます)。このグループが同一のコンテナ オブジェクトに含まれているかどうかは関係ありません。重要なことは、ユーザーまたはコンピュータが、ポリシーに直接的に割り当てられているか、(継承によって) 間接的に割り当てられているかという点だけです。

コンピュータまたはユーザーが OU または継承ラインの外部にあり、この OU 内にあるグループのメンバーである場合、有効化はこのユーザーまたはコンピュータには適用されません。このユーザーまたはコンピュータに対する有効な割り当て (直接的または間接的) がないからです。確かにグループは有効化されましたが、有効化はポリシーも割り当てられているユーザーおよびマシンのみに適用されます。つまり、オブジェクトに対して直接的または間接的なポリシーの割り当てが行われていない場合、ポリシーの有効化はコンテナの境界外には適用されません。

ポリシーは、ユーザー グループまたはコンピュータ グループに対して有効化されることで、有効になります。ユーザー グループが分析され、次にコンピュータ グループ (「認証されたユーザー」および「認証されたコンピュータ」も含む) が分析されます。両方の結果は論理和でリンクされます。この論理和リンクがコンピュータ/ユーザーの関係に対して真となった場合は、ポリシーが適用されます。

注: 1つのオブジェクトに対して複数のポリシーを有効にすると、前述のルールに従いながら、個々のポリシーが結合されます。つまり、オブジェクトの実際の設定は、複数の異なるポリシーから構成されることがあることを意味します。

グループには、次のいずれかの有効化設定を行えます。

ポリシーがコンテナに割り当てられると、グループに対する有効化設定 (アクティブ化) によって、このコンテナに対するポリシーをポリシーの計算に含めるかどうかが決まります。

継承したポリシーはこれらの有効化では制御できません。よりローカルな OU では「ポリシー継承のブロック」を設定する必要があるので、よりグローバルなポリシーをここで有効にすることはできません。