GPO ループバック処理でコンピュータにログインした特定のユーザ、グループにフィルター、適用する設定

Windows

GPO ループバック処理でコンピュータにログインした特定のユーザ、グループにフィルター、適用する設定に関する情報です。

 

OU構成によっては、コンピュータにログインしたユーザーにGPOを適用したい場合は、ループバック処理を行いますが、その際に、さらに特定のユーザーやグループに制限したい場合、以下の情報が参考になります。

 

情報はマイクロソフトのフォーラムにありました。

 

質問の抜粋です。

 

まず、動作的には現在正常に行えているのですが正しいやり方だったのかよくわからないので質問させて下さい。

特定OUに所属させているコンピュータ上かつ、特定のユーザーのみに適用させてたいユーザーの構成設定がありましたので、

ループバック処理の設定を行いました。

ループバック処理を行う設定は「Authenticated Users」でフィルターを設定して該当OUにリンクさせました。

その後、設定したいユーザーの構成設定のGPOを作成し、「特定のユーザー」でフィルターを設定該当OUにリンクさせてました。

上記の状態では設定が反映されませんでしたので、ユーザーの構成設定のGPOのフィルターに「Domain computers」を追加したら動作するようになりました。また、対象ユーザー以外には反映されていない事も確認できました。

ループバックでユーザーの構成を反映させるには、ユーザーの構成設定のGPOにはPCとユーザーの両方のフィルターが設定されている必要があるという事で問題無かったでしょうか?こういう時はループバック処理で対応しますみたいな解説はあってもフィルターをどうしたら良いか説明してくれてるサイトが見当たらなかったので。

 

 

続いて、回答の抜粋です。

 

この件ですが、まず原則論として、ユーザーポリシーを「セキュリティフィルター」で、「特定ユーザー・ユーザーグループ」に適用させたい場合、必ず「Domain Computers」グループを追加する必要があります。くわしくはしたのページを見てほしいのですが、この段階で「正常なグループポリシー適用ができていない」ということは言えるかと思います。

https://www.atmarkit.co.jp/ait/articles/1606/27/news016_2.html

ループバック処理についてですが、デフォルトである「統合モード」だと、正規のユーザーポリシーを全て確認し、そのあとにコンピューター上のユーザーポリシーを再適用します。この状況で、「正規のユーザーポリシー」が正常に適用できていない(コンピューターが読み取れないものがある)と、前提がおかしいので、最終的にただしく適用されないのかと思います。

https://support.microsoft.com/ja-jp/help/231287/loopback-processing-of-group-policy

----
統合モード
このモードでは、ユーザーのログオン時、通常はユーザーの GPO の一覧が GetGPOList 関数を使用して収集されます。その後、Active Directory 内のコンピュータの場所を使用して GetGPOList 関数が再び呼び出されます。コンピュータ用の GPO の一覧は、ユーザー用の GPO の最後に追加されます。
----

ループバックポリシーに特別なルールはなく、(他と同じように)「正しく動作するよう設定しましょう」がキモなのだと思います。その意味で残念ですが、お探しの情報は存在しないし、出ても来ないと思います。

 

実際に設定してみましたが、動作しました。ちょうどこの情報を探していたので参考になりました。

 

バッファロー マウス 無線 ワイヤレス 5ボタン 【戻る/進むボタン搭載】 小型 軽量 節電モデル 最大584日使用可能 BlueLED ブラック BSMBW315BK