【Active Directory】GPOの5つの適用タイミングについて

Active Directory

【Active Directory】GPOの5つの適用タイミングについて

こんにちは!そーまんです。

今回は、GPO の適用タイミングについて説明します。

これからグループポリシーを作成・管理される方、改めて知識を整理したい方は本記事を読んでいただければと思います。


GPO は 5 つの適用タイミングがある

GPO は 5 つの適用タイミングがあります。それぞれ異なるタイミングで GPO が適用されるので覚えておきましょう。

NoGPO の適用タイミング適用される構成
1PC またはサーバーの起動時コンピューターの構成
2ユーザーのログオン時ユーザーの構成
3PC またはサーバー使用(稼働)中に自動で 90 - 120 分間毎 ※環境によりそれ以上コンピューター・ ユーザーの構成
4PC またはサーバーで gpupdate コマンドを実行時 ※再起動必要な場合有りコンピューター・ ユーザーの構成
5アプリやミドルウェアからポリシーの更新要求時コンピューター・ ユーザーの構成
GPO 5つの適用タイミング

PC の起動時

PC またはサーバーの電源を入れた際や再起動をした後にドメインコントローラと接続し、GPO が適用されるといった仕組みになります。

この時点では「コンピューターの構成」で設定したポリシーのみ適用されますが、「ユーザーの構成」で設定したポリシーでは適用されません。


ユーザーのログオン時

PC またはサーバーでユーザーのログオン後に、ドメインコントローラと接続し、GPO が適用されるといった仕組みになります。

この時点では「ユーザーの構成」で設定したポリシーのみ適用されますが、 「コンピューターの構成」で設定したポリシーは適用されません。


PC またはサーバーの使用(稼働)中に自動で 90 分間毎 ※環境によりそれ以上

これは Active Directory のグループポリシーの機能で、定期的にドメインコントローラと通信を行い、GPO を適用するといった動きをバッググラウンドで実行しています。デフォルトでは 90 分間で、これはグループポリシーエディタで変更できます。

Policy can be optionally reapplied on a periodic basis. By default, policy is reapplied every 90 minutes. To set the interval at which policy will be reapplied, use the Group Policy Object Editor. 

Applying Group Policy | Microsoft

ただし、90 分だからといって必ず 90 分間毎に適用されるかというと環境によってそれ以上かかる場合があります。PC の台数が1万台以上あるような環境では数時間とかそれくらいかかる場合もあります。また、証明書など個別のポリシーだけ何故か適用に時間がかかる場合もあるようです。


PC で gpupdate コマンドを実行時 ※再起動必要な場合有り

GPO を作成・変更・削除した後に即時反映させたい場合やトラブルシューティングの際に実行します。

トラブルシューティングの場合は以下の記事をご覧ください。

実行方法

コマンドプロンプトを起動し、「upupdate 」または「gpupdate /force」と入力して実行します。

コマンド内容
gpupdate通常の場合はこのコマンドでポリシーが適用される
gpupdate /force強制的に即時ポリシーを適用させたい場合はこのコマンドでポリシーを適用させる(トラブルシューティング等)

ここで注意したいのは、コマンドプロンプトを起動したユーザーによって適用されるポリシーが異なります。ユーザーで起動した場合はそのユーザーのポリシーが適用されますし、管理者で起動した場合はコンピューターのポリシーが適用されます。

コマンドプロンプトを起動するユーザー適用されるポリシー
コマンドプロンプトをユーザーで起動した場合ユーザーの構成が適用される
コマンドプロンプトを管理者で起動した場合コンピューターの構成が適用される


アプリやミドルウェアからポリシーの更新要求時

これはアプリケーションやミドルウェア側の設定でそこからドメインコントローラと通信して GPO を PC またはサーバーに適用するといった内容になりますので、それぞれの設定によって異なりますのでここでは触れません。


最後に

いかがでしょうか。

GPOの5つの適用タイミングについてご理解いただけたかと思います。

GPOを管理する方、あるいは設定を依頼する方はどのタイミングでGPOを適用したいのか考えた上で設定したりすると良いでしょう。

それでは最後までお読みいただき有難うございました!

  • この記事を書いた人

そーまん

セキュリティエンジニアやってます。
ブログ歴3年。PVは月15万PV程度。
趣味はボクシング、筋トレ、登山です。
穏やかで人見知りな性格です。

人気記事

1

こんにちは!そーまんです。 今回は、PC に適用されている GPO を確認する方法について書きました。 本題に入る前に、一応参考までにGPOの適用タイミングについての記事をここに貼りましたので、必要に ...

2

こんにちは!そーまんです。 今回は sysprep について、全体的に PC をセットアップする観点から書いてみました。長々と書いてあります。まずは前置きからです。 まずはじめに 組織では PC のラ ...

3

こんにちは!そーまんです。 今回は、グループポリシー (GPO) を使って、特定のコンピューターに対して、ドメインユーザーに ローカル管理者権限 (以下は特権と記載) を付与する方法について書きました ...

4

こんにちは!そーまんです。 今回は、Windows サインイン後に一時ユーザープロファイルが読み込まれてしまった場合の解決方法について書きました。 Windows 10 の検証環境をいじってたらサイン ...

5

こんにちは!そーまんです。 今回は、ユーザープロファイルを削除する方法について書いてみました。 企業の場合よくあることですが、1 台の PC を共有 PC として複数人で使ったり、また余り無いかもしれ ...

6

こんにちは!SE ブログの相馬です。       今回は、繰り返し文について書いてみました。PowerShell では他のプログラミング言語同様、繰り返し処理を行うことが ...

7

コマンドを使って CPU とメモリの使用率をデータで取得してみましたので、例えば PC のトラブルシューティングで問題を再現させる際にデータを取得しておくと、原因の特定に役立つ場合があるかと思います。

8

既存の PC と同じ構成で別のメーカーの PC でマスターイメージを作る際、インストールされているアプリを同一にする為に必要になるかと思います。

9

企業で多くの GPO が適用されている環境では、PC に GPO が適用されなかったりする問題が発生する場合があるかと思います。その中でも、コンピューターの構成またはユーザーの構成のどちらかで、...

10

こんにちは!そーまんです。 今回は、Windows Server 2019 で NTP サーバーと同期する方法について書きました。 NTP サーバーの必要性や時刻同期の重要性を理解することは社内のシス ...

-Active Directory
-, , ,