ポリシーの割り当ておよび分析のルール

ポリシーの管理および分析は、このセクションで概説するルールに従って実行されます。

定義

ポリシーの取得元によって、ユーザー ポリシーであるかマシン ポリシーであるかが決定します。ユーザー オブジェクトはユーザー ポリシーを持ち、コンピュータはコンピュータ ポリシーを持ちます。見方によって、同一のポリシーがコンピュータ ポリシーでもあったり、ユーザー ポリシーでもあったりすることがあります。

  • ユーザー ポリシー

    分析のためにユーザーが提供する任意のポリシー。ポリシーがただ 1人のユーザーから実装された場合、そのポリシーのコンピュータ関連の設定は適用されません。つまり、コンピュータ関連の設定は適用されず、デフォルト値が適用されます。

  • コンピュータ ポリシー

    分析のためにコンピュータが提供する任意のポリシー。ポリシーがただ 1つのコンピュータから実装された場合、このポリシーに対するユーザー固有の設定も適用されます。したがって、コンピュータ ポリシーは、すべてのユーザーに対するポリシーを意味します。

ポリシーの割り当て、有効化

ユーザーまたはコンピュータに対してポリシーを実装できるようにするには、コンテナ オブジェクト (ルート ノード、ドメイン、OU、組み込みコンテナ、またはワークグループ) にポリシーを割り当てる必要があります。ユーザーまたはコンピュータに割り当てられたポリシーを有効にするため、階層内の任意の地点でポリシーを割り当てると、すべてのコンピュータ (認証されたコンピュータ) およびすべてのユーザー (認証されたユーザー) が自動的に有効化されます (有効化せずに割り当てるだけでは不十分です)。すべてのユーザーおよびすべてのコンピュータはこれらのグループにまとめられています。

ポリシーの継承

ポリシーはコンテナ オブジェクト間のみで継承できます。コンテナに他のコンテナ オブジェクトがグループ レベルで含まれていない場合は、そのコンテナ内でポリシーを有効化できます。グループ間で継承することはできません。

ポリシーの継承階層

ポリシーが階層チェーンに沿って割り当てられる場合、ターゲット オブジェクト (ユーザー/コンピュータ) に最も近いポリシーが最も上位となります。したがって、ターゲットオブジェクトからより離れるに従って、より近い別のポリシーが優先される可能性が高まります。

ポリシーの直接的な割り当て

ユーザーまたはコンピュータは、配置先コンテナ オブジェクトに直接割り当てられたポリシーを取得します (別のコンテナ オブジェクトに配置されているグループのユーザーとしてのメンバーシップだけでは不十分です)。このコンテナ オブジェクトは、このポリシーを継承していません。

ポリシーの間接的な割り当て

ユーザーまたはコンピュータは、配置先コンテナ オブジェクトが上位のコンテナ オブジェクトから継承したポリシーを取得します (別のコンテナ オブジェクトに配置されているグループのユーザーとしてのメンバーシップだけでは不十分です)。

ポリシーの有効化/無効化

コンピュータ/ユーザーに対してポリシーを有効にするには、グループ レベルで有効化する必要があります (ポリシーはグループ レベルのみで有効化できます)。このグループが同一のコンテナ オブジェクトに含まれているかどうかは関係ありません。重要なことは、ユーザーまたはコンピュータが、ポリシーに直接的に割り当てられているか、(継承によって) 間接的に割り当てられているかという点だけです。

コンピュータまたはユーザーが OU または継承ラインの外部にあり、この OU 内にあるグループのメンバーである場合、有効化はこのユーザーまたはコンピュータには適用されません。このユーザーまたはコンピュータに対する有効な割り当て (直接的または間接的) がないからです。確かにグループは有効化されましたが、有効化はポリシーも割り当てられているユーザーおよびコンピュータのみに適用されます。つまり、オブジェクトに対して直接的または間接的なポリシーの割り当てが行われていない場合、ポリシーの有効化はコンテナの境界外には適用されません。

ポリシーは、ユーザー グループまたはコンピュータ グループに対して有効化されることで、有効になります。ユーザー グループが分析され、次にコンピュータ グループ (「認証されたユーザー」および「認証されたコンピュータ」も含む) が分析されます。両方の結果は論理和でリンクされます。この論理和リンクがコンピュータ/ユーザーの関係に対して真となった場合は、ポリシーが適用されます。

1つのオブジェクトに対して複数のポリシーを有効にすると、前述のルールに従いながら、個々のポリシーが結合されます。つまり、オブジェクトの実際の設定は、複数の異なるポリシーから構成されることがあることを意味します。

グループには、次のいずれかの有効化設定を行えます。

  • アクティブ化

    ポリシーが割り当てられています。グループは、SafeGuard Management Center の有効化ペインに表示されます。

  • 非アクティブ化

    ポリシーが割り当てられています。グループは有効化ペインにありません。

ポリシーがコンテナに割り当てられると、グループに対する有効化設定 (アクティブ化) によって、このコンテナに対するポリシーをポリシーの計算に含めるかどうかが決まります。

継承したポリシーはこれらの有効化では制御できません。よりローカルな OU では「ポリシー継承のブロック」を設定する必要があるので、よりグローバルなポリシーをここで有効にすることはできません。

ユーザー/グループの設定

ユーザーに対するポリシーの設定 (SafeGuard Management Center でで表示) は、コンピュータに対する設定 (SafeGuard Management Center でで表示) よりも優先します。ユーザー設定がコンピュータに対するポリシーで指定された場合、これらの設定はユーザーに対するポリシーによって上書きされます。

ユーザー設定のみが上書きされます。ユーザーに対するポリシーにコンピュータに対する設定 (で表示されている設定) が含まれていても、この設定はユーザー ポリシーによって上書きされません。

例 1:

パスワード長が、コンピュータ グループに対しては 4 に定義され、ユーザー グループには同じ設定で 3 の値が割り当てられている場合、コンピュータ グループ内のコンピュータ上でこのユーザーに対してパスワード長 3 が適用されます。

例 2:

サーバーへの接続の間隔 (分) がユーザー グループに対しては 1分に、コンピュータグループに対しては 3分に定義されている場合、3分の値が使用されます。1分の値はユーザーに対するポリシーで定義されたコンピュータ設定であるためです。

矛盾する暗号化ポリシー

2つのポリシー、P1 と P2 を作成した場合を想定します。P1 には E ドライブのファイル ベースの暗号化が定義され、P2 には E ドライブのボリューム ベースの暗号化が定義されました。P1 には OU FBE-User が割り当てられ、P2 には OU VBE-User が割り当てられています。

ケース 1:OU FBE-User からのユーザーが、最初にクライアント W7-100 (コンテナ コンピュータ) にログオンします。E ドライブはファイル ベースで暗号化されます。続いて OU VBE-User からのユーザーがクライアント W7-100 にログオンすると、E ドライブはボリューム ベースで暗号化されます。両方のユーザーが同じ鍵を持っている場合、どちらもドライブまたはファイルにアクセスできます。

ケース 2:OU VBE-User からのユーザーが、最初にコンピュータ W7-100 (コンテナ コンピュータ) にログオンします。ドライブはボリューム ベースで暗号化されます。次に OU FBE-User からのユーザーがログオンし、OU VBE-User からのユーザーと同じ鍵を持っている場合、E ドライブ (ボリューム ベースの暗号化は保持されます) は、ボリューム ベースの暗号化内でファイル ベースで暗号化されます。ただし、OU FBE-User からのユーザーが同じ鍵を持っていない場合は、E ドライブにアクセスできません。

割り当て内での優先度

割り当てられたポリシーのうち、最も高い優先度 (1) を持つポリシーが、より低い優先度を持つポリシーよりも優先されます。

優先度が低く、「上書きなし」が指定されているポリシーが、優先度の高いポリシーと同じ階層に割り当てられている場合、優先度が低くても、このポリシーが優先されます。

グループ内での優先度

グループ内では、最も高い優先度 (1) を持つポリシーが、より低い優先度を持つポリシーよりも優先されます。

ステータス インジケータ

ステータス インジケータを設定して、ポリシーの標準ルールを変更できます。

  • ポリシー継承のブロック

    上位のポリシーを適用したくないコンテナに対して設定します (「プロパティ」ナビゲーション ウィンドウでオブジェクトを右クリックし、プロパティを表示してください)。

    上位のオブジェクトからコンテナ オブジェクトにポリシーを継承しない場合は「ポリシー継承のブロック」を選択して、継承させないようにします。コンテナ オブジェクトに対して「ポリシー継承のブロック」が選択されている場合、上位のポリシー設定の影響は受けません (例外: ポリシーの割り当て時に「上書きなし」を有効にした場合)。

  • 上書きなし

    割り当て処理中に設定します。このポリシーは他のポリシーで上書きできません。

    上書きなし」が設定されているポリシーの割り当てがターゲット オブジェクトから遠いほど、すべての下位コンテナ オブジェクトに対するこのポリシーの影響は強くなります。「上書きなし」が適用された上位コンテナは、下位コンテナのポリシー設定を上書きします。たとえば、OU に対して「ポリシー継承のブロック」が設定されている場合でも、設定を上書きできないドメイン ポリシーを定義できます。

    優先度が低く、「上書きなし」が指定されているポリシーが、優先度の高いポリシーと同じ階層に割り当てられている場合、優先度が低くても、このポリシーが優先されます。